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Internet est devenu un élément incontournable de la vie quotidienne pour beaucoup de gens, et indis pens able pour les 
informaticiens. 
Cependant, peu de monde connait en détail le fonctionnement d'Internet ! 


Aujourd'hui, il est devenu courant d'utiliser Internet à son travail. Mais savez-vous réellement ce qu'il se passe lorsque vous 
vous connectez à Internet ? De la même façon, presque tous les foyers sont équipés d'une multitude d'appareils nformatiques : 
le boîtier ADSL, l'ordinateur de bureau, l'ordmateur portable, l'imprimante etc. Mais peu de gens savent vraiment faire 
communiquer entre-elles toutes ces machines ! 


Nous allons voir à travers ce cours comment créer ce qu'on appelle un réseau, pourquoi et comment les mformations circulent 
sur Internet, et comment gérer sa connexion (et écouter celle des autres ! (2h) 


Comment les ordinateurs parlent-ils entre-eux ? 
Comment les mformations circulent-elles ? 

Qui gère Internet ? 

Puis-je participer à Internet ? 

Quel est l'âge du capitame ? (D 


À la fin de ce cours vous devriez être en mesure de répondre à toutes ces questions, donc de comprendre ce quise passe entre 
le moment où vous entrez un nom de site web dans la barre d'adresse de votre navigateur, et le moment où vous en recevez la 
réponse. Cecise fait en quelques millisecondes, mais cela représente de nombreuses étapes. ! 

Vus serez auss1en mesure de créer votre propre réseau local chez vous, et de l'administrer proprement. Ce cours devrait 
permettre à ceux quise destinent à un métier dans les systèmes et réseaux d'y voir plus clair, à ceux qui préfèrent la 
programmation de mieux comprendre le réseau et donc de devenir plus performants dans leur métier ou futur métier, et à ceux qui 
désirent contrôler leur machine à café en wifi depuis le téléviseur de leur salon de ne plus se lever de leur canapé ! 


Vus êtes motivés ? Alors voici un petit aperçu du programme : je commencerai par vous raconter comment Internet a été imagmé 
et mis en œuvre ; nous verrons ensuite les normes qui ont permis sa création et essaierons de les comprendre. Nous 


apprendrons auss1 à créer et administrer un petit réseau personnel, et nous nous plongerons dans le découpage d'adresses IP. 


Pour tous ceux qui veulent aller un peu plus loin après la lecture de ce cours, 1l y a pas mal de tutos et de vidéos avancées sur 
mon site www.lalitte.com. 


Bon, fini la parlotte, qui m'aime aime les réseaux me suive ! (5) 
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Partie 1 : Comment communiquer sur un réseau local ? 


Dans cette partie nous allons voir l'histoire d'Internet. Nous verrons aussi les différents éléments qui composent le réseau et 
comment les machines arrivent à communiquer ensemble. 


L'histoire d'Internet 


Nous voilà prêts à plonger dans le fonctionnement d'Internet ! Mais avant toute chose, essayons de comprendre pourquoi et 
comment nous en sommes arrivés là. 
Je vous propose dans ce chapitre une petite histoire de l'Internet. 


Une histoire de mailles 


Internet a été créé au départ pour une raison bien particulière. 

À l'époque, dans les années 1950, les communications étaient « point à point », c'est-à-dire qu'on ne pouvait communiquer 
qu'avec une seule machine à la fois. Les chercheurs qui devaient communiquer avec plusieurs autres chercheurs lors de 
réunions, se sont rendu compte qu'il serait intéressant de pouvoir le faire en temps réel plutôt que de passer d'un mterlocuteur à 
l'autre successivement. 


Ils ont donc cherché à créer un nouveau moyen de communication qui ne serait alors plus centralisé, mais maillé. 


+ Réseau de communication centralisé 


3 


Cela veut dire que toute information pourrait passer par différents points, et que si certains points disparaissaient, cela 
n'empêcherait pas l'information de circuler. Observez donc la figure suivante : vous voyez qu'avec un réseau de communication 
maillé, si un point de communication n'est plus en état de fonctionner, l'nformation peut passer par un chemin différent. 


Schéma d'un réseau maillé 





Mais mamtenant que l'idée est posée, il reste à la mettre en œuvre ! 


Les chercheurs vont travailler et notamment mettre en place un réseau pour l'armée. C'est seulement au début des années 1960 
que l'on voit apparaître des textes décrivant les prémices de ce que sera Internet. 


À la fin des années 1960, l'Arpanet, l'ancêtre d'Internet, ne comportait que quatre machines ! Les protocoles utilisés alors ne 
permettaient pas d'attemdre les buts fixés, à savoir de faire dialoguer des machines provenant de différents réseaux en utilisant 


différentes technologies de communication. 


C'est alors que les chercheurs se sont orientés vers la création d'autres protocoles de communication, et notamment TCP/IP. 
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Internet a continué de croître au fil des années, mais c'est en 1990 qu'une révolution va permettre sa croissance réelle : le 
langage HTML et le protocole d'échange HTTP qui permettent la création de pages web. 


Tout va s'accélérer alors avec la création des premiers navigateurs capables d'afficher des images, et la hbération de l'utilisation 
des noms de domaine. Nous pouvons voir sur la figure suivante la progression phénoménale d'Internet dans les années 1990- 
2000. 


Utilisateurs internet dans le monde 


Évolution des utilisateurs d'Internet (wikipedia) 


Utilisateurs sn mioens 


Rp + dr D : À 
= en M - Rs a ns 
OT SU OT ST OT ST SU RE : Ë É 
Année 


Internet aujourd'hui 
© Aujourd'hui, Internet c'est 1,8 milliard d'internautes et 200 millions de serveurs. 





Parmi ces mternautes, nous pouvons voir des disparités à travers le monde : 


42 % des mternautes viennent d'Asie ! 

le pays le plus mternetisé est. la Corée du Sud ; 

les mternautes français représentent 6 % du total des mternautes ; 
78% des Américains ont Internet contre 10 % des Africains ; 

une personne sur trois dans le monde a accès à Internet ; 

le nombre d'internautes entre 2000 et 2010 a été multiplié par 4,5 ; 

la croissance de l'Internet en Afrique est de 2360 % entre 2000 et 2010 ! 


Je ne vais pas continuer à vous abreuver de chiffres, bien que certains soient étonnants à connaître. Wyons plutôt le magnifique 
graphique présenté en figure suivante, qui représente les connexions entre machines d'Internet. Prenez votre loupe ! 
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Source: Wikipedia 


Cependant, n'oublions pas notre objectif premier : comprendre le fonctionnement d'Internet. Donc fini de rêvasser, passons aux 
choses sérieuses ! 

Maintenant que nous connaissons une partie de l'histoire d'Internet, il est grand temps de nous plonger dans son 
fonctionnement, notamment en étudiant sa création. 
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La création d'Internet, le modèle OSI 


Nous sommes près de 1,8 milliard d'nternautes aujourd'hui. Internet est une gigantesque toile d'araignée. 


Comment est-ce possible de faire communiquer autant de machines ? 
Comment ne pas s'y perdre dans ce dédale d'nformations ? 


Nous allons voir cela de ce pas, en essayant tout d'abord de comprendre comment Internet a été créé et quelles sont les normes 
qui ont été mises en œuvre pour orchestrer ce bal d'nformations. 


Comment communiquer ? 


Imaginez que vous puissiez communiquer à chaque mstant, quand vous le voulez, avec n'importe qui dans le monde ! C'est ce 
que nous propose Internet. 

I n'est pas facile de s'exprimer lorsque nous sommes un petit groupe de 10 personnes, difficile lorsque nous sommes 100, et 
quasiment impossible quand nous sommes 1000. Internet se propose donc de relever le défi de pouvoir communiquer tous 
ensemble, en même temps, et ce, quand nous le souhaitons. Bien sûr pour arriver à cette prouesse, il a fallu créer un système de 
communication complexe permettant aux machines de parler entre elles. 





© Mais comment ce modèle de communication a-t-1l pu être créé ? 


Eh bien le plus simple est de partir de ce que nous connaissons déjà de la communication. Et ça, tout le monde peut le faire ! 
Faisons un petit nventaire des moyens de communication: 


- la parole ; 

- le téléphone ; 
- le courrier ; 

- le pigeon voyageur ; {=} 





- EtC. 


Essayons maintenant de comprendre, parmi ces moyens de communication, ce dont nous avons besoin pour communiquer. 
Pour la parole, nous avons besoin: 


e d'un émetteur ; 
e d'un récepteur ; 
e d'un support de transmission (l'air). 


Pour le téléphone, c'est un peu pareil sauf que nous avons besoin d'un élément complémentaire qui est l'intermédiaire entre la 
parole et l'électronique. En effet, on transforme la parole en signaux électriques, ils arrivent côté récepteur, puis ils sont de 
nouveau transformés en paroles. Nous voyons qu'il y a une encapsulation de l'nformation. 


Nous retrouvons ce système d'encapsulation dans le courrier, pour lequel nous avons besoin: 


d'un émetteur ; 

d'un récepteur ; 

d'un support de transmission (la lettre) ; 
d'un contenant (l'enveloppe) ; 

d'un mtermédiaire (la poste). 


Ainsi, nous commençons à comprendre ce qu'ilnous faut pour communiquer. 


temps ? Pourra-t-on communiquer avec l'autre bout du monde instantanément ? 





© Maintenant, est-ce que cela va pouvoir s'appliquer aux ordinateurs ? Comment va-t-on faire pour parler tous en même 


Nous allons voir par la suite comment les chercheurs ont fait pour passer des principes de communication humains à des 
principes de communication pour ordinateurs. 


Ils ont ains1 regroupé l'ensemble de leurs recherches et de leurs résultats dans une norme que devront respecter les personnes se 
connectant à Internet. 
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Il s'agit du modèle OST! 
Le modèle OSI 


Le modèle OSI est né en 1984. Les plus connaisseurs d'entre vous auront remarqué que celui-ci est né après la naissance 
d'Internet ! 

La raison est simple : le modèle OSI est né quand nous avons commencé à avoir une certaine expérience des communications 
entre ordinateurs. Il tient donc compte des communications existantes, mais aussi des communications futures et de leurs 
évolutions potentielles. 


Son objectif est de normaliser les communications pour garantir un maximum d'évolutivité et d'interopérabilité entre les 
ordinateurs. 





© Tout cela est fort sympathique, mais qu'est-ce que le modèle OSI ? 


Le modèle OSI est une norme qui préconise comment les ordinateurs devraient communiquer entre eux. 
Ainsi, si vous voulez faire communiquer votre grille-pam avec votre lave-vaisselle, 1l faudra vous appuyer sur le modèle OSI, ou 
du moins vous en inspirer le plus possible. Cela impliquera notamment le respect de la communication par couches. 


©) Mais qu'est-ce que c'est que ces couches ? 


Non, je ne suis pas devenu fou et ne suis pas sponsorisé par Pampers ! Le modèle OSI est un modèle en couches. Cela veut dire 
qu'il est découpé en plusieurs morceaux appelés couches, qui ont chacune un rôle défini, comme vous le montre le schéma de la 
figure suivante. 





4 transport | Le modèle OSI 


liaison de 


données 


| 


Nous voyons ici que le modèle OSI a sept couches. Chacune possède un nom différent. 





© Mais pourquoi 7, et pas 14 ou 137 ? 


Souvenez-vous du paragraphe précédent. Nous y avons vu que pour mettre en place une communication, 1l nous faudrait mettre 
en œuvre un certain nombre d'éléments, comme l'émetteur, le récepteur, le langage, etc. Eh bien les chercheurs ont imaginé 
combien d'éléments principauxi1l faudrait mettre en place pour communiquer. Et ils en ont trouvé 7 ! 
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Chaque couche du modèle OST va donc avoir un rôle à accomplir. Et l'ensemble de ces rôles va permettre de communiquer d'un 
ordmateur à un autre. 


Examnons ces couches un peu plus en détail... 


Cartes d'identité des couches du modèle OSI 


La couche 1 ou couche physique : 


Nom: physique. 

Rôle : offrir un support de transmission pour la communication. 
Rôle secondaire : RAS. 

Matériel associé : le hub, ou concentrateur en français. 


La couche 2 ou couche hais on : 


Nom : haison de données. 

Rôle : connecter les machines entre elles sur un réseau local. 
Rôle secondaire : détecter les erreurs de transmission. 
Matériel associé : le switch, ou commutateur. 


La couche 3 ou couche réseau : 


Nom: réseau. 

Rôle : mterconnecter les réseaux entre eux. 
Rôle secondaire : fragmenter les paquets. 
Matériel associé : le routeur. 


La couche 4 ou couche transport : 


Nom : transport. 

Rôle : gérer les connexions applicatives. 
Rôle secondaire : garantir la connexion. 
Matériel associé : RAS. 


Ta-couches-euceuchesessien- on s'en fiche ! 


Oui, vous m'avez bien lu, au-delà de la couche 4, on s'en fiche ! Bon, j'exagère un poil, mais pas tant que ça. 
La raison est simple : le modèle OSI est un modèle théorique. Le modèle sur lequel s'appuie Internet aujourd'hui est le modèle 
TCP/TP. Or, ce modèle n'utilise pas les couches 5 et 6, donc. on s'en fiche ! 


Bon, je crois que vous avez compris ! Par contre, la couche 7 existe bien. Et c'est pour elle que nous mettons tout cela en place, le 
grand manitou, le patron, l'application ! 


La couche 7 ou couche application : 


Nom : application. 

Rôle : RAS. 

Rôle secondaire : RAS. 
Matériel associé : le proxy. 





© Quoi ? Une couche qui n'a pas de rôle ? Pourquoi est-elle là alors ? 


Elle est là pour représenter les applications pour lesquelles nous allons mettre en œuvre des communications. 
Ce n'est donc pas cette couche en elle-même que nous allons étudier, mais les couches qui sont là pour lui rendre service et 
acheminer les mformations, les couches 1 à 4. 
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Les couches 1 à 4 sont appelées les couches "réseau". Ce sont elles qui ont la responsabilité d'acheminer les mformations d'une 
machine à une autre, pour les applications qui le demandent. 


Avant d'examiner plus en détail les couches, nous allons préciser le cadre d'utilisation du modèle OSI. 


Règles d'or du modèle OSI 


Le modèle OSI étant une norme, il doit mdiquer, aux personnes voulant mettre en place des réseaux, comment travailler. Plus 
exactement, cela permet aux constructeurs de matériels de réseau de savoir comment fabriquer leurs matériels, et donc de garantir 
la compatibilité entre eux. 


S1 chacun respecte la norme, ça marche ! 


Nous avons vu que chaque couche avait un rôle qu'il faudra respecter. Amsi, la couche 2 ne s'occupera jamais de la 
communication entre réseaux. De même que la couche 3 ne s'occupera pas de la communication sur un réseau local, etc. 


Le modèle OSI ajoute deuxrègles plus générales entre les couches : 


e chaque couche est indépendante ; 
e chaque couche ne peut communiquer qu'avec une couche adjacente. 


Chaque couche est indépendante 


L'impact sera que les mformations utilisées par une couche ne pourront pas être utilisées par une autre couche. 
Par exemple, pour ceux qui connaissent déjà un peu le réseau, l'adresse IP qui est une adresse de couche 3 ne pourra pas être 
utilisée par une autre couche, sous peine de ne pas respecter le modèle OSI. 


Cela va permettre de garantir l'évolution des communications dans le temps. 


Imaginez que vous utilisiez Internet aujourd'hui. Sans le savoir, vous utilisez le protocole IPv4 pour la couche 3. Demain, nous 
allons passer en protocole IPV6 pour des raisons que nous expliciterons avec la couche 3. 

S1 jamais nous utilisons des adresses IPv4 dans une autre couche, le jour où nous changerons le protocole de couche 3 qui 
utilise les adresses IPv4, nous devrons changer aussi le ou les protocoles quiutilsent cette adresse. 





© Rendre les couches mdépendantes garantit qu'elles sont mterchangeables. 


Cela veut dire qu'on pourra changer un protocole associé à une couche sans avoir besoin de changer toutes les couches du 
modèle OSI. 

C'est un peu comme s1 vous aviez une commode avec des tiroirs. Wus pouvez changer un tiroir cassé sans avoir à changer toute 
la commode ! 


Regardons la seconde règle. 


Chaque couche ne peut communiquer qu'avec une couche adjacente 


Pour comprendre cette règle, vous allez devoir comprendre comment les machines se servent du modèle OSI pour communiquer. 
Vus êtes devant votre ordinateur et votre navigateur préféré. Wus entrez l'adresse d'un site dans la barre d'adresses, et le site 
apparaît aussitôt. 

Sans le savoir, vous avezutilisé le modèle OSI ! 

En gros, l'application (le navigateur) de couche 7, s'est adressée aux couches réseau pour que celles-ci transmettent l'information 
à l'application demandée sur la machine demandée (le serveur web sur la machine google.com par exemple). 


Lors d'un envoi, nous parcourons donc les couches du modèle OSI de haut en bas, de la couche 7 à la couche 1, amsique vous 
pouvez le voir sur la figure suivante. 
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F application | 
6 présentation 
” 
Envoi 
de 
données 4 transport Envoi dans le modèle OSI 
| 


liaison de 








données 


| ne | 


Ainsi, grâce à la seconde règle du modèle OSI, nous garantissons que lors de l'envoi d'informations, toutes les couches du 
modèle OSI vont être parcourues. 


Ceci est garanti, car nous partons de la couche 7, et la règle nous dit qu'une couche ne peut communiquer qu'avec une couche 
adjacente. La couche 7 ne pourra donc communiquer qu'avec la couche directement sous elle, la couche 6. 


En fait, c'est presque vrai, car comme vous le savez mamtenant, le modèle OSI n'est qu'un modèle théorique, et la couche 7 
s'adresse directement aux couches réseau pour communiquer, soit directement à la couche 4, qui s'adresse à la couche 3, qui 
s'adresse à la couche 2... 


© Nous pouvons ainsi garantir que tous les rôles associés à chaque couche, et donc nécessaires à la communication, 





vont être remplis ! 


Ce qu'il faut retenir 


Le modèle OSI est une norme précisant comment les machines doivent communiquer entre elles. 

C'est un modèle théorique, le modèle réellement utilisé étant le modèle TCP/IP. 

Le modèle OSI possède 7 couches. 

Chaque couche a un rôle particulier à accomplir. 

Les couches 1 à 4 sont les couches réseau. 

Les couches réseau offrent le service de communication à la couche applicative. 

Chaque couche est mdépendante des autres. 

Chaque couche ne peut communiquer qu'avec une couche adjacente. 

Lors de l'envoi de données, on parcourt le modèle OSI de haut en bas, en traversant toutes les couches. 


vous connaissez et comprenez maintenant le modèle OSI ; 
il est composé de 7 couches chacune dédiée à un rôle particulier ; 
Il y a deuxrègles d'or associées à ce modèle qui permettent de garantir la bonne utilisation du modèle OSI. 


Il est temps maintenant de s'y plonger directement avec l'étude de la couche I. 


Www.openclassrooms.com 


Partie 1 : Comment communiquer sur un réseau local ? 15/220 





Brancher les machines, la couche 1 


Mantenant que nous avons vu comment fonctionnaient les communications avec le modèle OSI, nous allons nous plonger dans 
l'étude de chacune des couches quinous mtéressent. Il s'agit des quatre premières couches qui correspondent aux couches 
réseau. Nous allons d'abord voir les couches qui nous servent à dialoguer sur un réseau local, et pour commencer, la couche 1. 
Allez, un peu de travail physique, on attaque la couche lÎ ! 


La couche 1, ses rôles 


Comme nous l'avons vu avec le modèle OSI, chaque couche a un ou plusieurs rôles associés qui servent à mettre en place la 
communication. 





© Mais à quoi peut bien servir cette couche 1 ? 


Le rôle principal de la couche I est de fournir le support de trans mission de Ia communication. 
Eh oui, pour pouvoir communiquer 1l va bien falloir avoir un support. Wus en connaissez déjà un s1 vous êtes connectés à 
Internet : un câble si vous êtes connectés directement à votre box, l'air hbre s1 vous utilisez le wifi. 


La couche 1 aura donc pour but d'acheminer des signaux électriques, des 0 et des 1 en gros. 


© D'ailleurs, pourquoi des 0 et des 1 et pas des 5 ou des 564 ? 





Cela est dû à la difficulté de distmguer des signaux électriques différents. Sur un signal qui varie entre 0 Vet 5 Vilest facile de 
distnguer quand on est près de 0 VoudesV 


Par contre s1Je vous demande de faire la distinction entre 0OVIV2V3V4Vets V cela sera plus difficile ! 
Notamment quand il y aura des perturbations magnétiques, comme des aimants, qui pourront venir modifier le signal électrique. 


Imaginons que la perturbation modifie le signal en ajoutant 2 V vous êtes foutus pour faire la distinction entre 3 V'et 4 V Alors 
qu'entre 0 Vet 5 V cela est encore possible en prenant une marge de 2 V 

Il est donc plus facile de distinguer 2 signaux que 5 ou 10. C'est pour cela que l'on travaille avec des 0 et des 1 en mformatique, 
quireprésentent deux signaux différents ! 


© Mais comment fait-on pour faire circuler ces 0 et ces 1 ? 





Les matériels, câbles, etc. 
Les 0 et les 1 vont circuler grâce aux différents supports de transmission. Nous allons les étudier un par un. 
Historiquement, nous avons utilisé des câbles, qui sont dépassés aujourd'hui, mais que vous pourrez parfois encore rencontrer 
dans des réseaux antiques : il s'agit des câbles coaxiaux ! 


Les câbles coaxiaux 


ici, sur la figure suivante, comment se présente un câble coaxial. 
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Fil de données 


Maillage de masse 


Câble coaxial 





ISolant externe 


ISolant interne 


Le principe est de faire circuler le signal électrique dans le fil de données central. On se sert du maillage de masse, autrement 
appel grille, pour avoir un signal de référence à 0 V On obtient le signal électrique en faisant la différence de potentiel entre le 
fil de données et la masse. 


Comme nous sommes des brutes dans les réseaux, un nom aussi simple que câble coaxial n'était pas envisageable et 1l fallait 
inventer un acronyme incompréhensible pour bien montrer que ce métier était réservé à des experts ! (5) 


Le nomscientifique donné au câble coaxial est donc le 10B2 ou 10B5 pour sa version encore plus ancienne. 


© Mais pourquoi ces chiffres et ces lettres ncompréhensibles ? 





Pour crâner en public ! Bon d'accord, il y a aussi une explication logique : 


e le 10 indique le débit en Mbps (négabits par seconde) ; 
e le B mdique la façon de coder les 0 et les 1, soit ic1 la bande de Base ; 
e le dernier chiffre mdique la taille maximale du réseau, exprimée en mêtres et divisée par 100. 


Cette taille est de 200 m pour le 10B2, et 500 m pour le 10BS. Par exemple, pour une longueur de 200 m, s1 Je divise par 100, cela me 
donne 2. Le nomscientifique est donc bien 10B2 ! 


Le câble coaxial 10B5 


Le 10B5 est le plus ancien et le plus dur à utiliser. Le principe est de poser le câble partout dans les salles à mformatiser. Ensuite, 
on peut brancher des machines sur le câble, mais seulement à certains endroits ! La connexion se fait à l'aide de prises vampire. 


© Que vient faire Dracula là-dedans ? 


En fait, 1l fallait faire un petit trou, à la main, dans le câble, pour attemdre le fil de données. Une fois cette manipulation effectuée, 
on mettait en place la prise vampire dans laquelle une petite pomte en métal venait en contact avec le fil de données et permettait 
de récupérer le signal (voir la figure suivante). 
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Prise vampire 





Autant dire que les admmistrateurs réseau étaient manuels ! 


Pour la petite histoire, les câbles 10B5 étant très épais, 1l était difficile de les plier. Et s1 jamais on en plait un trop fort et qu'on 
coupait le fil de données à l’mtérieur, patatra ! Le réseau était coupé et le câble, bon à jeter. 

C'est pour cela que ce câble faisait un quart de cercle dans le coin des salles pour ne pas être plié. Un élève mal mtentionné 
pouvait alors se venger avec un bon coup de pied dans ledit câble. Heureusement est arrivé le 10B2 ! 


Le câble coaxial 10B2 


Le câble coaxial 10B2 possède la même structure que le 10B5, mais en plus fin. La connectique utilisée est aussi très différente, 
car la propagation de l'information ne se fait pas de la même façon. 
Pour mettre en place un réseau en 10B2, il fallait : 


e des câbles 10B2 équipés de prises BNC ; 
e des tés BNC ; 
e des bouchons. 


ici aux figures suivantes, dans l'ordre de haut en bas, le câble équipé d'une prise BNC, le té BNC et le bouchon BNC. 


Prise BNC 
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Té BNC 


Bouchon BNC 





Pour créer le réseau, on mettait un bouchon sur un côté du té, une carte réseau sur le deuxième côté (celui du milieu) et un câble 
sur la dernière prise. L'autre extrémité du câble était branchée sur un autre té, et ainsi de suite jusqu'à la fermeture du réseau par 
un bouchon. 


ici à la figure suivante un exemple de connexion sur un té. 


Connexion BNC 





M commecTeuRrs cn T 


Et voici le réseau complet sur la figure suivante. 


Réseau BNC 





Cela devient plus simple et plus solide que le réseau 10B5, car si un câble est défectueux, on peut le remplacer. Mais. s1 jamais 
quelqu'un veut se débrancher du réseau. il coupe le réseau ! Heureusement pour nous, le réseau a évolué, et Zerre la paire 
torsadée est arrivée ! 


La paire torsadée 


Le câble à paires torsadées n'est plus un câble coaxial. Il n'y a plus un unique fil dans le câble mais huit ! De quoi faire passer de 
l'information dans tous les sens ! 

Le câble à paires torsadées est donc composé de huit fils, torsadés deux à deux par paires, d'où le génie des chercheurs quand ils 
ont trouvé son nom, la paire torsadée ! Wus pouvezen voir un exemple sur la figure suivante. 
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Gaine Paire torsade 


Câble à paires torsadées 








€) Mais pourquoi utiliser 8 fils ? 


Parce que nous avons été malins ! Par principe, il n'y a besoin que de deux fils pour faire passer une différence de potentiel, 
comme vu au paragraphe précédent sur le câble coaxial. 


Cependant, nous ne savons pas de quoi l'avenir sera fait, et peut-être que demain nous voudrons faire passer plusieurs 


informations sur un même câble. 
Ainsi, le câble à paires torsadées a été créé avec 8 fils, alors que deux auraient suffi, pour permettre son évolution. 


2) OK, donc aujourd'hui, nous utilisons 2 fils, soit une paire, pour faire passer l'nformation ? 





Eh non ! Aujourd'hui, dans la plupart des réseaux, nous utilisons 2 paires, soit 4 fils, car nous utilisons une paire pour envoyer 
les données, et une paire pour les recevoir. Nous n'utiisons donc que 4 fils sur &. 

Ceci dit, ce n'est pas grave, car 1l existe déjà des technologies qui utilisent plus de 4 fils, et nous avons eu raison d'en mettre 8 
dans le câble à paires torsadées. 


©) Et d'ailleurs, pourquoi on les torsade, ces fils ? 





Parce que cela permet une meilleure protection du signal électrique. En effet, on s'est rendu compte qu'en torsadant les fils de la 
sorte, le câble était moins sujet à des perturbations électromagnétiques (et ne me demandez pas pourquoi !). 


Il faut cependant éviter s1 possible, quand vous posez du câble, de passer à côté de sources de perturbation comme des câbles 
électriques à 220 V ou des néons qui créent de grosses perturbations lors de l'allumage. 





© Est-ce que la paire torsadée a un nom compliqué comme le 10B2 ? 


Oui, on l'appelle auss1le 10BT, ou 100BT ou 1000BT, selon le débit utilisé (10 Mbps, 100 Mbps, 1000 Mbps) le T étant là pour « 
torsadé », ou fwisted en anglais. On ajoute parfois un x derrière, pour dire que le réseau est commuté... mais nous verrons cela 
avec la couche 2. 


S1je vous dis que le réseau est en 100BTXx, vous savez que j'utilise de la paire torsadée et que le débit est de 100 Mbps (et 
accessoirement que le réseau est commuté, mais cela n'est pas encore très parlant...). 





©) Le câble coaxial n'est plus utilisé, mais qu'en est-il de la paire torsadée ? 


Eh bien on l'utilise partout, dans 90 % des cas ! C'est la number one de la connexion, la championne, le top du top ! 
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C'est d'ailleurs sûrement le câble que vous utilisez pour vous connecter à votre box. Il est partout en entreprise, chez les 
particuliers, chez mamie, etc. 
Notamment parce qu'il est robuste et permet de gros débits, qu'il n'est pas cher, et qu'il est simple à installer. 





© D'ailleurs, comment branche-t-on les machines avec ? 


On les branche à l'aide de prises RJ45. 


| | Etne confondez pas le câble à paires torsadées avec les prises de ce câble, RJ45 ! Ne me parlez donc pas de câble RJ45, 
cela n'existe pas ! 





ici à la figure suivante une prise RJ45. On peut voir les 8 petits connecteurs en cuivre qui sont reliés aux8 fils. 


Prise RJ4S 2 








© Étant donné que nous n'utilisons que 4 fils, peut-on utiliser n'importe lesquels ? 


Non !Il faut utiliser des fils spécifiques, qui sont les fils 1, 2, 3 et 6. Wici en figure suivante le branchement d'un câble et les fils 
utilisés (avec les couleurs). 


RJ45 Pin# Pin RJ45 
OrangeMhite Tracer D me Orangehite Tracer | | 
Green White Tracer | 3 a Green White Tracer 
D Blue (4 mn 4 Be Paire torsadée 
5 Blueñhite Tracer 
L6 | Green 





















Bluewvhite Tracer | 5 
6. 


Green] 
- EE —_—_ — — : 
Brownä%hite Tracer de A BrownWhite Tracer 
[_______Brown|8] [8 [Brown | 


NENEN EN 
NE BIN 





droite 


De plus, il ne faut pas oublier que cette prise doit être branchée dans une autre prise pour être connectée. On appelle cette prise 
une prise femelle, elle est généralement située sur un hub ou un switch, mais nous le verrons plus tard... (voir les figures 
suivantes). 
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tj45 femelle | MUTSEAR jus — 








Switch 


Imagmons que nous ayons une machine À à gauche, et une machine B à droite que nous relions à l'aide de ce câble. Wici sur la 


figure suivante ce que ça donne. 


RS Pins Pin _R.J45 


Orange White Tracer Em À Orange White Tracer 
2 
GreenWhite Tracer on EI GreenWhite Tracer 
BU | 4 4 [BU 
BlueAYhite Tracer LS jp 5 BlueWYhite Tracer 

6 |Green 


Green [6 

- —  _ __ _ 
Brownä%hite Tracer LE ps 7 BrownWhite Tracer 

[________Brown|8] [8 [Brown | 





#\ Il y a un problème !? 





Machine B 
Es] 


EE 
ne 





RJ4S droit 2 


Oui, comme certains l'ont peut-être deviné, cela ne va pas marcher. Si vous vous rappelez bien, nous utilisons deux paires pour 


une connexion. Une paire pour envoyer des données et une paire pour les recevoir. 


Or, d'après le câblage utilisé, la transmission de la machine A va être en relation avec la transmission de la machine B. De même, la 
réception de la machine À va être en relation avec la réception de la machine B (voir la figure suivante). Cela ne marchera pas. 


Machine À RJ4S Pin# Pin#_RJ45 
+ | Orangehite Tracer | 1 4 | Orange White Tracer 
7 Orange |2 
GreenWhite Tracer mt] Greenhite Tracer 


Blue 4 te (à 
| SE 
___Bluewite Tracer BlueMhite T 
BlueWhite Tracer us ue e Tracer 





ER 
= 





BrownWWhiie Tracer Ts 7 Brownhie Tracer 
7 Bromn|8 oleroun "| 0 


transmissions 


© Alors comment faire ? On m'aurait menti ? 





Machine B 





2 |Orange "7 — T- 


RJ45 droit avec 


Pour pouvoir relier la transmission de la machine A avec la réception de la machine B, il faudrait que les fils 1 et 2 soient en 
relation avec les fils 3 et 6... Ce qui reviendrait à croiser les fils. Eh bien voilà, nous venons d'inventer le câble croisé ! 
Comme vous pouvezle constater sur la figure suivante, nous avons bien la transmission de la machine A en relation avec la 


réception de la machine B. 
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Pin#_RJ45 Machine B 
'GrangeMhite Tracer | 1 | Tx+ 

2/Green 2" | 

Rx+ 

RJ4S croisé 





Nous pouvons en tirer une conclusion : pour relier deux machines directement entre elles, 1l faut un câble croisé. 





© Ah bon ? Pourtant Je connecte mon ordinateur sur ma box et j'utilise un câble droit | 


Il peut y avoir deux raisons à cela : 


e la prise femelle sur la box a déjà ses connexions transmission et réception mversées ; 
e les prises femelles de ma boxet de mon ordinateur sont capables de s'adapter et d'nverser les connexions de 
transmission et réception s1 besoin. 


Le premier cas est modélisé sur le schéma de la figure suivante. Nous y voyons bien que même s1 nous utilisons un câble droit, la 
paire de transmission de la machine A est en relation avec la paire de réception de la machine B. 


Machine B 


Machine À RJ45 Piné Pin#_RJ45 
| | |OrangeWnite Tracer | 1 | 1 |Orange White Tracer | D 
D Orange [2 pm) 2 [Orange 


#7 
GreenWhite Tracer | 3 3 |GreenWhite Tracer Tx+ 
be 
D Be fé 4 Be — 
Bluewhite Tracer os 1 BlueYhite Tracer 
D Green[6h——"{6{Grem 
Brownävhite Tracer LE ps 7 Browni%hite Tracer 


RJ45 droit avec 








pe] 





switch 


Dans le second cas, la machine B peut choisir mdifféremment les paires de transmission et réception pour se trouver dans le cas 
de la machine A ou de la machine B. Magique ! 

Ainsi, étant donné que les cartes réseau ont évolué aujourd'hui, vous pouvez utiliser indifféremment des câbles droits ou croisé 
s sans vous embêter ! Ça reste vrai tant que vous n'utilisez pas de vieux matériel qui ne serait pas capable de changer ses paires 
de connexion. 


©) Mais mantenant s1 vous utilisez du vieux matériel, comment savoir s'il faut utiliser un câble droit ou un câble croisé ? 


Il y a une règle simple, mais pas toujours facile à comprendre : je dois utiliser un câble croisé pour connecter deux matériels de 


même type. 


Super ! Vus vous demandez peut-être ce que c'est que deux matériels de même type ? Eh bien ce sont par exemple deux 
ordmateurs, ou deux imprimantes. Quand ce sont deux matériels identiques, on sait qu'ils sont de même type, c'est facile. 
Par contre, s1 l'on veut connecter un ordinateur et une imprimante, comment faire ? Il va falloir créer deux catégories : 


e les matériels de connexion ; 
e les matériels connectés. 


Les matériels de connexion sont ceux qui servent à connecter plusieurs machines entre elles, comme les hubs ou les switchs 
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(voir les figures suivantes). 


sm 





Un Hub TT Sith 
| Lasana 





Les matériels connectés sont... tout le reste ! Les ordinateurs, les imprimantes, les routeurs, etc. 
Et voilà, nous avons fait le tour de la paire torsadée qui est encore le câble le plus utilisé de nos jours. 


© Mais à quoi branche-t-on cette paire torsadée ? 


Dans un premier temps, nous l'avons vu, il s'agit de prises RJ45 femelles. Celles-ci sont montées sur des cartes réseau pour nos 
machines. 

Mais pour pouvoir relier plusieurs machines entre elles sur un réseau, il faut utiliser un matériel de connexion. Et pour la couche 
1, ils'agit du hub (ou concentrateur en français). Le hub est une machine composée de plusieurs prises RJ4S femelles et qui a 
pour rôle de relier les machines entre elles (voir la figure suivante). 


Un Switch 





Seulement, le hub a un fonctionnement particulier. Imagmez qu'il y ait S machines branchées au hub, les machines À, B, C, Det E. 
S1A veut parler à C, elle va envoyer l'mformation au hub. Mais lui ne sait pas lire ! Il va donc envoyer l'nformation à toutes les 
machines en se disant qu'il y en aura bien une dans le tas quisera la bonne ! 

Les machines B, D et E vont voir que l'nformation n'est pas pour elles et vont la jeter, alors que la machine C va pouvoir la lire ! 
(on voit tout de suite qu'un hub n'est pas top pour la confidentialité des données...). 


Le hub est un peu bourrimn, mais ça marche ! 


©) Mais quel est l'avenir du câblage réseau ? Est-ce encore la paire torsadée ? 


A priori, même s1 cela coûte encore très cher, la fibre optique est amenée à remplacer la paire torsadée, notamment en raison des 
débits qu'elle peut offrir. Mais ce n'est pas pour tout de suite. 


La fibre optique 


Avec la fibre optique, nous transportons des 0 et des 1, non plus avec de l'électricité mais avec de la lumière ! 
Ce sera en gros, allumé, éteint, alluné, étemmt.. On envoie de la lunmnère dans le fil, et elle ressort quelques mêtres/kilomètres plus 
loin. 


Nous n'allons pas rentrer dans les détails de la fibre optique, mais nous allons seulement voir ce quinous intéresse. 


Le nom Scientifique 


Le nomscientifique de la fibre est communément le 1000BF. Du gigabit avec le F pour... Fibre ! Il existe aujourd'hui globalement 
deux types de fibre : 
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e la fibre monomode ; 
e la fibre multimode. 


La fibre monomode fait passer une seule longueur d'onde lumineuse, soit une seule couleur. Elle fonctionne donc avec du laser 
qui peut être vert, bleu, rouge, etc. 

La fibre multimode fonctionne avec de la lumière blanche, et donc toutes les longueurs d'ondes (la lumière blanche est la somme 
de toutes les lumières possibles, comme celle du soleil). 


© Mais pourquoi avoir deux fibres différentes ? 





Le débit et la distance parcourue ne seront pas les mêmes dans les deux cas. En effet, la fibre monomode est beaucoup plus 
performante que la multimode. 





© Hein ? Une seule lumière est plus efficace que toutes les lumières ensemble ? 


Eh oui ! Dans le cas de la lumière blanche, la lumière envoyée dans la fibre va être reflétée à l'intérieur de la fibre. Mais chaque 
couleur va se refléter légèrement différemment, ce qui fait qu'au bout de la fibre au lieu d'avoir une lumière blanche, on aura des 
couleurs qui arriveront très proches, mais pas parfaitement ensemble. 


C'est comme s1 vous lanciez une poignée de cailloux. Les cailloux sont bien regroupés au lancement, mais plus ils avancent et 
plus ils s'éparpillent. Alors que s1 vous lancez un seul caillou, il arrivera groupé (vu qu'il est seul). C'est pareil pour la fibre 
monomode. 

On pourra ainsi parcourir une plus longue distance avec de la fibre monomode. En gros : 


e 2 kmpour la fibre multimode ; 
e 60 km pour la fibre monomode. 


Même s1 les distances parcourues aujourd'hui peuvent être beaucoup plus grandes (le record étant de l'ordre de 8000 km) c'est 
un bon ordre de grandeur. 


C'est ainsi que l'on a relié les États-Unis et l'Europe, en passant de la fibre monomode dans l'Atlantique, et en répétant le signal 
lumineux tous les 60 km... 


La fibre aujourd'hui 


Aujourd'hui, vous n'utilisez pas la fibre pour relier votre ordmateur au réseau. Par contre, elle est très utilisée chez les opérateurs 
Internet qui ont besoin de beaucoup de bande passante, dans les grandes entreprises dans ce que l'on appelle le cœur de 
réseau, et parfois dans certames entreprises lorsqu'il y a de gros moteurs qui créent des perturbations électromagnétiques (vu 
que la lumière y est msensible). 


Vilà, vous avez un aperçu de ce quise fait en terme de câblage, du moins le câblage matériel, puisqu'il existe aussi aujourd'hui 
du câblage virtuel, j'a1nommé le wifi ! Toutefois, nous n'allons pas rentrer dans le détail de la technologie wifi. 


Maintenant que nous avons du matériel pour brancher les ordinateurs, il nous reste à savoir comment nous allons organiser ces 
branchements, car il y a plusieurs possibilités. 


La topologie réseau 
Les 3 topologies 


En réseau, la topologie est la manière selon laquelle on branche les machines entre elles. 
Il y a trois topologies principales : 


e la topologie en bus ; 
e la topologie en anneau ; 
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e la topologie en étoile. 


Les voici représentées sur les figures suivantes, avec des ronds pour les machines et des traits pour le câblage. 





Dans la topologie en bus, toutes les machines sont branchées sur le même câble. Comme vous pouvez l'imaginer, cela se rapporte 
notamment à du câblage coaxial 10B2 ou 10Bs5. 

Dans la topologie en anneau, toutes les machmes sont branchées à un même câble, mais celui-ci est bouclé sur lui-même en 
cercle. 





… Non, vous n'imaginez rien, car nous n'avons vu aucune technologie de câblage en anneau. 
Vus n'en verrez plus non plus nulle part d'ailleurs ! Ou alors ce n'est pas de chance. 


Enfin, dans la topologie en étoile, toutes les machines sont branchées à une machine centrale, qui sait envoyer les informations 
à une machine en particulier. Cela nous fait penser à des machines reliées en paires torsadées à un switch. 


© Mais pourquoi a-t-on plusieurs topologies et quelles sont leurs différences ? 





Caractéristiques 


Nous allons les étudier une à une, sachant que l'objectif pour nos réseaux sera d'avoir un maximum de machines et une taille de 
réseau la plus grande possible. 


Caractéristiques du bus 








2 Comment parle-t-on sur un bus ? 


Sur un bus, une seule machine peut parler à la fois vu qu'il n'y a qu'un seul câble. En gros, on écoute si une machine parle, et si 
personne ne parle, on parle ! 


2 Peut-on brancher une infinité de machines sur un bus ? 





Non ! Tout simplement, car nous venons de voir que nous n'avons qu'un seul câble pour tout le monde. Une seule personne 
peut parler à un mstant donné. Donc plus 1l y a de machines et moins nous avons de possibilités de parler. 


C'est comme s1 vous étiez dans une pièce avec d'autres personnes. Plus vous êtes nombreux et plus 1l est difficile de parler et de 
prendre la parole. 


On considère qu'au-delà de 50 machines, la probabilité de parler en même temps qu'une autre machine est plus forte que celle de 
parler seul, et donc que le réseau ne marchera plus. 


LC ù Peut-on faire un réseau de taille illimitée ? 
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Non encore ! Tout simplement à cause du temps de propagation de l'information. Plus le câble est long, plus l'nformation met du 
temps à aller d'un bout à l'autre du réseau, et donc plus il y a de chances pour qu'une machine essaye de parler en même temps 
que les autres. La taille du réseau est donc limitée pour limiter le risque que plusieurs machines parlent en même temps. 


Caractéristiques de l'anneau 





Le mode de communication sur un anneau est assez différent. Il y a un "jeton" qui tourne en permanence sur l'anneau et que les 
machines peuvent prendre pour envoyer un message. 


C'est un peu comme s1 vous étiez assis en rond avec des amis et que votre seul moyen de communiquer était un panier que vous 
vous passiez de l'un à l'autre, dans un sens. 

Pour parler, 1l faut prendre le panier et mettre son message dedans. Wus passez le panier à votre voisin qui regarde l'adresse du 
destinataire. Si c'est lui, 1l le lit, smon 1l passe à son voisin, et ams1i de suite. 


2 Peut-on brancher une mfinité de machines sur un anneau ? 





Non ! Car comme pour le bus, il n'y a qu'un jeton pour tout le monde. 


© Peut-on faire un réseau de taille illimitée ? 


Non encore ! Et la raison est la même que pour le bus. Plus l'anneau est grand et plus le jeton met du temps à le parcourir. C'est 
comme pour attendre le bus (pas la topologie, celui avec des roues) : plus le trajet du bus est long, plus vous risquez de 
l'attendre. 





Caractéristiques de l'étoile 





En étoile, toutes les communications passent par le point central. 
On lui envoie l'nformation avec le nom du destinataire, et le point central aiguille l'nformation vers la bonne machine. C'est 
comme le centre de tri de la poste (sauf que c'est plus rapide... {7 





© Peut-on brancher une infinité de machines sur une étoile ? 





Oui... et non ! En fait, cela dépend de la capacité de notre point central à traiter un grand nombre de machines. C'est lui, le facteur 
limitant. 
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Aujourd'hui, les switchs sont capables de traiter plusieurs milliers de machines. 


©) Peut-on faire un réseau de taille illimitée ? 


Oui ! Mais dans ce cas, il faut relier plusieurs points centraux entre eux. Ainsi, ils se transmettent l'information jusqu'à l'achemimer 
au destinataire. 





Quelle topologie utiliser ? 
Cela semble assez clair, seule la topologie en étoile possède des caractéristiques permettant d'étendre son réseau aussi bien en 
taille qu'en nombre de machines. Ft ça tombe bien, car les réseaux en bus ou anneau sont en voie de disparition aujourd'hui. 


Nous travaillerons donc par la suite sur des réseaux en étoile. 


Le CSMA/CD 


Ah oui, il nous reste une petite chose à voir avant de clore ce chapitre, le CSMA/OD ! 


2 Quoi ? C'est quoi cet acronyme à la noix ? 


Cela veut dire Carrier Sense Multiple Access/Collision Detection. Wilà, il suffisait de demander ! 





Bon OK, vous n'êtes pas bien avancés ! Pour comprendre cet acronyme, 1l va falloir se replonger dans la topologie en bus, et 
notamment comprendre comment l'on fait pour parler sur un bus. 

Dans une topologie en bus, 1ln'y a qu'un câble pour tout le monde, donc une seule machine peut parler à un instant t. Si deux 
machines parlent en même temps, 1l se produit une collision. 

En fait, le bus transporte une mformation électrique. Si deux machines parlent en même temps, les signaux électriques se 
superposent. Quand deux signaux à 5 V arrivent en même temps sur le câble, cela donne 5 V (voir explication ici, merci à python- 
guy et Qubs) Par contre, si un signal 0 V arrive avec un signalS V il en résulte 5 V'et le premier signal devient donc imcorrect (car 
on hit 5 Vau heu de 0 V). 


Et donc on ne comprend plus rien, comme quand deux hommes politiques parlent ensemble à la télé ! 
© Mais comment faire pour éviter les collisions ? 





On ne peut pas. En revanche, on peut essayer de limiter le nombre de collisions. 
C'est là que le CSMA/CD entre en jeu. Son objectif est de limiter le nombre de collisions en organisant le droit à la parole. 
L'idée est de mettre en place une règle qui permettrait de n'avoir presque plus de collisions. 





© Comment faire ? S1 j'ai besoin d'envoyer une information et mon voisin aussi, on va se battre ! 


Nous allons mettre en place une règle, et la respecter. 


1. On écoute en permanence sur le bus pour savoir si quelqu'un parle ou s'il y a une collision. 

2. On ne peut parler que quand le bus est libre. 

3. Sijamais on parle, mais qu'une collision survient (parce que quelqu'un a eu la même idée que nous) on doit se taire et 
attendre pour reparler. 


Oui mais, s'il y a une collision, je me tais et j'attends. L'autre machine qui a park fait pareil. Seulement, lorsqu'on veut reparler 1l y 
a de nouveau une collision. Il va donc falloir une petite astuce pour éviter ce phénomène. 

Pour cela, lorsque nous détectons une collision, nous allons attendre un temps aléatoire avant de reparler. Vu que ce temps est 
aléatoire, 1l y a peu de chances pour que les deux machines tombent sur le même temps. 


Je récapitule le CSMA/CD : 


1. On écoute en permanence sur le bus pour savoir si quelqu'un parle ou s'il y a une collision. 
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On ne peut parler que quand le bus est libre. 

S1 jamais on parle, mais qu'une collision survient (parce que quelqu'un a eu la même idée que nous) on doit se taire. 
On attend un temps aléatoire. 

On reparle. 

S1 jamais 1l y a une collision, on revient à l'étape 4, sinon, c'est bon ! 


Nite re 


Dans la réalité, cela donne par exemple : 


Deux machines A et B parlent en même temps. 

Elles détectent la collision. 

Elles attendent toutes les deuxun temps aléatoire. 2 s pour A et 3 s pour B. 
Après 2 s,A recommence à parler. 

Après 35,B voit que A parle et attend son tour. 

Dès que A à fini, B peut parler. 


DRE LS 


Ça marche ! € 








Donc nous n'avons pas élimmé les collisions sur un bus (ce n'est pas possible), mais par contre nous avons trouvé une 
méthode pour les limiter et réussir à partager le bus pour parler. 


e vous savez maintenant que le rôle principal de la couche 1 est d'offrir un support de transmission pour les 
communications ; 

le câble le plus utilisé aujourd'hui est la paire torsadée, munie de prises RJ4S ; 

le matériel utilisé pour connecter les machines est le hub ; 

il existe plusieurs organisations pour brancher les machines, appelées topologies ; 

la topologie la plus utilisée est la topologie en étoile ; 

sur une topologie en bus, il peut y avoir des collisions ; 

enfin, vous savez que le CSMA/CD permet de s'affranchir des problèmes de collisions. 


Vus avez maitnenant un bon aperçu de la couche 1 et êtes prêts pour aborder la couche 2. 
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Faire communiquer les machines entre elles, la 
couche 2 


La couche 1 n'a plus de secrets pour vous : vous savez câbler un réseau et maîtrisez le matériel associé. 

Maintenant, il serait bien de pouvoir envoyer des mformations d'une machine à une autre, de s'ouvrir au grand monde, de rêver 
d'un monde de communication. OK je m'emporte. 

Commençons par comprendre la couche 2 et nous aurons déjà fait un grand pas ! {=} 





Vus allez voir que dans ce chapitre et le suivant nous allons aborder beaucoup de notions qui vous seront utiles en réseau. Il 
est très important de bien maîtriser ces notions, ne négligez donc pas ces chapitres et les suivants. 
La couche 2, ses rôles 


Comme nous l'avons vu dans un chapitre précédent, la couche 2 se nomme la couche haison, ou plus précisément, liaison de 
données. Cependant, ce qu'il y a à retenir n'est pas dans le nom, mais bien dans le rôle. 





© Le rôle donné à la couche 2 est de connecter des machines sur un réseau local. 


Plus exactement, l'objectif est de permettre à des machines connectées ensemble de communiquer. Nous allons donc dans ce 
chapitre voir ce qu'il faut mettre en œuvre pour établir une communication entre deux ou plusieurs machines. 


Ceci étant, nous allons un peu vite en besogne, car la couche 2 possède un autre rôle important qui est la détection des erreurs 
de transmission. J'ai bien dit détection, et non pas correction, la différence est importante, car la couche 2 verra les erreurs, et 
fermera les yeux sur celles-ci. 


Siavec tout cela on n'arrive pas à parler, Je n'ai plus qu'à changer de métier ! 


Un identifiant, l'adresse MAC 


Pour parler ensemble quand nous sommes deux, ce n'est pas bien compliqué : je parle et l'autre écoute (du moins la plupart du 
temps ….). 

Dès que le nombre de participants augmente, ça devient plus compliqué, car l'on peut vouloir s'adresser à une personne en 
particulier pour lui communiquer une information secrète. 


En réseau c'est pareil, on veut parfois parler à tout le monde mais aussi, la plupart du temps, parler à une machine en particuher. 
Et pour pouvoir parler à une machine en particulier, 1l va bien falloir être capable de l'identifier. Les chercheurs ont donc créé un 
identifiant particulier à la couche 2 qui permettrait de distinguer les machines entre elles, 1l s'agit de l'adresse MAC ! 





© Waouh ! Une machine a donc une adresse MAC pour être identifiée ? 


Pas exactement en fait. Vu que nous sommes en couche 2, et donc encore proches de la couche 1, l'adresse MAC est en liaison 
avec le matériel, et notamment la carte réseau. 


© L'adresse MAC est donc l'adresse d'une carte réseau. 


Notation de l'adresse MAC 


Un peu de calcul binaire 


Attention, sortez vos cerveaux, 1l va falloir faire du calcul binaire. Et en réseau, on va en faire beaucoup, beaucoup. Donc autant 
s'y mettre dès mamtenant ! 


© Euh, c'est quoi le binaire ? 
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Le binaire est un système de numération en base 2. Globalement, cela veut dire qu'on ne peut compter qu'avec I et O, 
contrairement au système de numération décimal que nous avons l'habitude d'utiliser dans lequel on se sert des chiffres de 0 à 9. 


S1Je compte en binaire, cela donne le résultat suivant : 
Code : Console 


Ce qui est équivalent en décimal à : 
Code : Console 


OO I OO O1 & À NH © 





© Mais pourquoi du binaire ? On est punis ? 


Parce que nous avons vu dans le chapitre précédent que les mformations électriques passaient sous la forme de 0 Vou 5 V soit 
deux états différents 0 ou 1. 


Comment calculer en binaire ? 


Il y a plusieurs façons de faire, je vais vous en présenter une qui est relativement facile à utiliser. 


Vus avez l'habitude de travailler en décimal. Eh bien il faut savoir que tout nombre décimal peut s'écrire en binaire. 
Plus exactement, tout nombre décimal peut s'écrire comme une somme de puissances de 2. 


Prenons un exemple avec le nombre 45. Il peut s'écrire : 
45=-32+8+4+1] 


= (1#2%)+(0* 2 + (1 *22)+(1 * 223+(0* 215+ (1 * 20) 


On peut donc écrire 45 en binaire : 101101 





© OK mais comment je trouve ce résultat, moi ? 


Tout nombre décimal peut s'écrire comme une somme de puissances de 2. 
On peut donc faire un tableau de puissances de 2 qui nous aidera à faire nos calculs : 


27 [212% 12123[22121120 


Www.openclassrooms.com 


Partie 1 : Comment communiquer sur un réseau local ? 


31/220 





ICCEDOUE 


RAS Sss 





Pour notre nombre 45, cela donne : 


RÉOAAAËEE 
RECETTES 
sLrrehhit 





Soit 101101. 


Ce que nous allons faire pour un calcul, c'est de regarder s1 la puissance de 2 la plus élevée peut être contenue dans notre 


nombre, et recommencer avec la puissance de 2 suivante. 


Pour notre exemple, est-ce que 128 peut être contenu dans 45 ? Non, je mets 0 dans la colonne 128. 


RÉÉAAÈËEE 
RECETTES 
DUREE 





On passe à la puissance de 2 suivante : 
Est-ce que 64 peut être contenu dans 45 ? Non, je mets 0 dans la colonne 64. 


RÉOAAAEEE 
RECETTES 
SLT 





Est-ce que 32 peut être contenu dans 45 ? Oui ! Je mets 1 dans la colonne 32 ET j'ôte 32 à 45. 


45-32-13 


RÉÉÉHAAUE 
ROCIECICEENS 
COUOSRRRE 





Je continue maintenant avec ce nouveau chiffre. Est-ce que 16 peut être contenu dans 13 ? 


Non, je mets 0 dans la colonne 16. 


Celle 


REOICIEDEENS 
DRODOREEE 


Est-ce que 8 peut être contenu dans 13 ? Oui ! Je mets 1 dans la colonne 8 ET j'ôte 8 à 13. 
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13-8—5 


Celle 


ROCIEEENS 
DOUDOU 


Est-ce que 4 peut être contenu dans 5 ? Oui ! Je mets 1 dans la colonne 4 ET j'ôte 4 à 5. 
5-4=I 





RÉOAAÈËEE 
RECETTES 
“Let 


Est-ce que 2 peut être contenu dans 1 ? Non, je mets 0 dans la colonne 2. 


RÉÉAAÈEE 
RECETTES 
sbrrehhi) 


Est-ce que 1 peut être contenu dans 1 ? Oui ! Je mets 1 dans la colonne I ET j'ôte 1 à 1. 
1-1—0 donc j'ai fini ! 








RÉ AAUE 
ROCIECICENETS 
sborrorit 





Un autre exemple ? OK. 
Essayez de calculer 109 en binaire. 


Est-ce que 128 peut être contenu dans 109 ? 


Non, je mets 0 dans la colonne 128. 
BAD AGAN 
BOCECOUEN 
neo LILI 





On passe à la puissance de 2 suivante : 


Est-ce que 64 peut être contenu dans 109 ? Oui, je mets 1 dans la colonne 64 ET j'ôte 64 à 109. 


109 - 64 — 45 


MAO 


RECENT 
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| 109 | 0 1 | | | | | | | 


Est-ce que 32 peut être contenu dans 45 ? Oui ! Je mets 1 dans la colonne 32 ET j'ôte 32 à 45. 
45 -32= 13 





RAA 


BOCECOUEN 
DUNISSSEE 


Je continue maintenant avec ce nouveau chiffre. 
Est-ce que 16 peut être contenu dans 13 ? Non, je mets 0 dans la colonne 16. 


MA 
RECETTE 
ht 


Est-ce que 8 peut être contenu dans 13 ? Oui ! Je mets 1 dans la colonne 8 ET j'ôte 8 à 13. 
13-8=5 








RÉOAGOEEE 
Cissptppph 
CONDODRRE 


Est-ce que 4 peut être contenu dans 5 ? Oui ! Je mets 1 dans la colonne 4 ET j'ôte 4 à 5. 
5-4=I 





RÉ OEEE 
Cissptpppt 
CONDOM 


Est-ce que 2 peut être contenu dans 1 ? Non, je mets 0 dans la colonne 2. 


RÉÉÉHAAAE 
BOCECOUEN 
CONTI 


Est-ce que 1 peut être contenu dans 1 ? Oui ! Je mets 1 dans la colonne I ET j'ôte 1 à 1. 


1-1—0 donc j'ai fini ! 
pas /elle 
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ne Mhipohhiton 


Nous avons donc notre résultat : 109 en décimal s'écrit 1101101 en bmaïre. 


©) Pouvait-on aller plus vite pour ce calcul ? 


Oui ! Car dès le premier calcul, on tombait sur un reste de 45. Or, nous savions écrire 45 en binaire et nous aurions pu mdiquer 
directement les 6 derniers chiffres. 

Pour travailler en binaire, 1l va nous falloir beaucoup d'astuce. N'hésitez pas à en user, mais attention, si vous ne vous sentez pas 
à l'aise, revenez à la méthode de base. 


Bon super, je sais calculer en binaire, mais cela ne m'aide pas pour les adresses MAC pour l'instant. 


Et l'adresse MAC là-dedans ? 


Maintenant que nous sommes des pros du binaire, nous pouvons nous attaquer à l'adresse MAC. Sauf que l'adresse MAC 
s'écrit en hexadécimal... 


© Quoi ? () On se moque de nous, on travaille le binaire, on se saigne aux quatre veines et on ne s'en sert même pas 
D 


Mais si ! Car quand on a compris le binaire, l'hexadécimal n'est pas bien compliqué. À l'inverse du binaire pour lequel nous 
n'avions que 0 et 1 comme chiffres à notre disposition, en hexadécimal nous en avons 16! 


© Moi je connais les chiffres de 0 à 9, mais il existerait d'autres chiffres ? 





Oui, en fait nous utilisons simplement les premières lettres de l'alphabet après 9. En hexadécimal nous avons donc : 


Citation 
OMS RSR ON RS O0 PDC CELL 


Par exemple, 10 en hexadécimal s'écrit a. 
11 s'écrit b, etc. 


© Tout nombre décimal peut s'écrire comme la somme de puissances de 16. 





Je vais vous épargner les calculs, mais le principe est le même. Notre adresse MAC s'écrira donc en hexadécimal. 
En voici une pour l'exemple : 00:23:5e:bf:45:6a 


Codage de l'adresse MAC 


Nous savons mamtenant de quoi est composée l'adresse MAC, mais pour la voir plus en détail, nous allons déjà voir sa taille. 


© L'adresse MAC est codée sur 6 octets. 
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Un octet est une unité mformatique mdiquant une quantité de données. 
Par exemple, quand vous achetez un disque dur, vous connaissez sa taille en nombre d'octets. Un disque 40 Go fera 40 
gigaoctets, soit 40 000 000 000 octets ! 





© Un octet représente 8 bits. Un bit est une valeur binaire. 


Comme nous l'avons vu avant, une valeur binaire peut être soit 0, soit 1. Un bit peut donc coder deux valeurs, deuxbits peuvent 
coder quatre valeurs, trois bits 8 valeurs, etc. Dans l'exemple de deux bits, chacun d'eux peut prendre les valeurs 0 ou 1 ; quand 
on les couple on peut donc prendre les valeurs : 00, OI, 10, 11 

Ceci donne bien 4 valeurs différentes. Wus pouvezessayer avec 3 ou 4 bits de trouver toutes les combmaisons possibles. 


En fait, on en déduit que xbits peuvent coder 2* valeurs ! 
Ce qui nous donne pour un octet, qui représente 8 bits : 1 octet — 29 = 256 valeurs ! 


Un octet est donc compris entre 0 et... 255 (puisqu'on démarre à 0) 
Notre adresse MAC est codée sur 48 bits. Combien cela représente-t-1l d'octets et de valeurs possibles (en puissances de 2) ? 


1 octet —8 bits, donc 48 bits = 48/8 octets — 6 octets. 
L'adresse MAC est codée sur 6 octets. 


Vu que l'adresse MAC est codée sur 48 bits, elle peut prendre 28 valeurs. Soit... 281 474 976 710 656 valeurs ! Soit plus de 280 
mille milliards d'adresses MAC possibles ! Ça fait beaucoup... 


Trucs et astuces ! 


Si vous voulez avoir une idée de la valeur décimale d'une grande puissance de 2, c'est facile. 
Prenons pour exemple PAR 

248 — 910 * 210 * 210 * 210 + D8 

Or, 210 vaut à peu près 1000 (1024 exactement). 


Nous avons donc 2*% = 1000 * 1000 * 1000 * 1000 * 256. 
Soit 256 mille milhards… facile, et plus besoin de calculette ! 


Nous avons donc beaucoup, beaucoup... beaucoup d'adresses MAC. 


Ça tombe bien, car chaque adresse MAC va être unique au monde. 


© Chaque carte réseau a donc sa propre adresse MAC, unique au monde. 






© Comment c'est possible, ça ? On ne se trompe jamais ? 


Normalement non. Un constructeur qui fabrique des cartes réseau va acheter des adresses MAC, ou plus exactement des 
morceaux d'adresses MAC. 
Les trois premiers octets de l'adresse représentent le constructeur. 


Ainsi, quand un constructeur veut produire les cartes, 1l achète trois octets qui lui permettront de donner des adresses à ses 
cartes. Par exemple, j'achète la suite de trois octets: 00:01:02. Toutes les cartes réseau que je vais produire vont commencer par 
ces trois octets, par exemple : 00:01:02:00:00:01 ; puis : 00:01:02:00:00:02 ; etc. 


S1 Je choisis toujours les trois derniers octets différents pour les cartes que Je produis, je suis sûr qu'aucune autre carte réseau 
n'aura la même adresse MAC, car Je suis le seul à posséder les trois premiers octets 00:01:02 et j'ai fait attention à ce que les trois 
derniers ne soient pas identiques. 


Récapitulons : 


e L'adresse MAC est l'adresse d'une carte réseau. 
e Elle est unique au monde pour chaque carte. 
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e Elle est codée sur 6 octets (soit 48 bits). 





© Grâce à l'adresse MAC, je suis donc capable d'envoyer des informations à la carte réseau d'une machine ! 


Une adresse MAC speciale 


Parmi les adresses MAC, il y en a une particulière, c'est l'adresse dans laquelle tous les bits sont à 1, ce qui donne ff FFF FFE fr. 
Cette adresse est appelée l'adresse de broadcast. 


L'adresse de broadcast est une adresse universelle qui identifie n'importe quelle carte réseau. 
Elle me permet ams1 d'envoyer un message à toutes les cartes réseaux des machines présentes sur mon réseau, en une seule fois. 


, Toute machine qui reçoit une trame qui a, comme adresse MAC de destination, l'adresse de broadcast, considère que la 
trame lui est destinée. 





Et maintenant ? 


Maintenant, nous savons relier les ordinateurs entre eux grâce à la couche I et les identifier grâce à l'adresse MAC de couche 2. 
Il serait bien de définir un langage pour pouvoir les faire communiquer ! 


Un protocole, Ethernet 
Le langage de couche 2, c'est quoi ? 


Nous allons devoir définir un langage pour communiquer entre machines. Ce langage permettra de définir le format des messages 
que les ordinateurs vont s'échanger. Et le gagnant est. Ethernet ! En réseau, on traduit langage par protocole, pour faire plus 
pro. 


© Ethernet n'est pas le seul protocole de couche 2, mais 1l est de très loin le plus utilisé aujourd'hui. 





À quoi sert un protocole ? 


L'objectif des réseauxest de pouvoir s'échanger des informations. Étant donné que nous discutons entre des machines très 
différentes, qui elles-mêmes ont des systèmes d'exploitation très différents (Windows, Mac OS, Linux, etc.) nous devons créer 
un langage de communication commun pour se comprendre. C'est le protocole. 


Nous avons vu que des 0 et des 1 allaient circuler sur nos câbles. Nous allons donc recevoir des choses du genre : 
0011010111100011001000111110000101110001 10001... 


Ce qui ne veut pas dire grand-chose... tant que nous ne nous entendons pas sur leur signification. Le protocole va ainsi définir 
quelles mformations vont être envoyées, et surtout dans quel ordre. 


Dans notre message, nous allons au moins devoir envoyer : 


e l'adresse de l'émetteur ; 
e l'adresse du destinataire ; 
e le message proprement dit. 


Ainsi, nous pouvons très bien dire que les 48 premiers caractères que nous allons recevoir représentent l'adresse MAC de 
l'émetteur (puisque l'adresse MAC fait 48 bits) les 48 suivants l'adresse du récepteur, puis enfin le message. 
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© Le protocole va donc définir le format des messages envoyés sur le réseau. 


Plus exactement, nous allons appeler ce message, une trame. 





© La trame est le message envoyé sur le réseau, en couche 2. 


Format d'une trame Ethernet 


Nous avons donné un format d'exemple dans le paragraphe précédent, mais nous allons voir le vrai format utilisé. Intéressons- 
nous d'abord aux adresses MAC. Laquelle placer en premier ? L'émetteur ou le récepteur ? 


Pour répondre à cette question, nous allons nous mettre dans la peau d'une machine qui réceptionne un message. 


2 Est-ce plus mtéressant de connaître l'adresse de celui qui nous envoie le message, ou celle de celui à qu1il est destiné ? 





Eh bien les chercheurs ont estimé qu'il était plus intéressant de connaître l'adresse du destinataire, car amsinous pouvons 
immédiatement savoir s1le message est pour nous ou pas. S'il est pour nous, nous en continuons la lecture. S'il n'est pas pour 
nous, ce n'est pas la peine de passer du temps à le lire. poubelle ! 


Nous allons donc positionner en premier l'adresse MAC du destinataire, suivie de l'adresse MAC de l'émetteur (aussi appelée 
adresse MAC source). 





Adresse MAC DST (destinataire) | Adresse MAC SRC (source) 


Trame Ethernet 


Et ensuite ? 


Ensuite, nous avons besoim d'une information un peu particulière. Pour la comprendre, vous devez vous rappeler du modèle 
OSI... Bon d'accord, je vous aide avec un schéma (voir la figure suivante) ! 
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Nous avons vu que, lors de l'envoi d'une information, nous parcourons les couches de haut en bas (voir la figure suivante). 


5 
Envoi 
de 
données | 











== ones + ———— _ 


Nous sommes donc passés par la couche 3 avant de passer par la couche 2. La couche 3 peut donc indiquer à la couche 2 quel 
est le protocole qui a été utilisé en couche 3. 
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Et c'est utile, car à l'arrivée, quand la couche 2 de la machine réceptrice reçoit les données, qu'elle voit que l'adresse MAC de 
destination est bien la sienne, elle doit envoyer les informations à la couche 3, et donc au bon protocole de couche 3. 


Il est donc nécessaire d'mdiquer dans la trame quel protocole de couche 3 a été utilisé quand le message a été envoyé et qu'ila 
traversé les couches du modèle OST de haut en bas. 


Notre trame devient donc : 


Adresse MAC DST (destinataire) | Adresse MAC SRC (source) | Protocole de couche 3 


Trame Ethernet 


Nous avons presque tout ! 


© Pourquoi presque ?! 


Parce qu'ilnous manque l'essentiel : 





e l'information à envoyer ; 
e nous n'avons toujours pas réglé le problème de la détection d'erreurs. 


Pour l'nformation, nous allons la placer juste après le protocole de couche 3. De plus, nous allons enchaîner avec le code de 
correction des erreurs, ou CRC. 


Qu'est-ce que le CRC ? 





© Le CRC est une valeur mathématique qui est représentative des données envoyées. 


En gros cela veut dire que c'est un nombre qui sera différent pour chaque message. 
Imagmons qu'une machine A envoie un message à une machine B. 


e Lors de l'envoi, A calcule le CRC (une valeur X) et le met à la fin de la trame. 
e Breçoit le message et fait le même calcul que A avec la trame reçue (une valeur Y). 
e Bcompare la valeur qu'elle a calculée (Ÿ) avec la valeur que A avait calculée et mise à la fin de la trame (X). 


Si elles sont égales, bingo ! La trame envoyée par A est bien identique à la trame reçue par B. 


Sielles sont différentes, gloups ! Il y a eu une erreur lors de la transmission. La trame reçue par B n'est apparemment pas la même 
que celle envoyée par A. Il y a eu un problème quelque part, mais nous l'avons détecté ! 


La trame complète 


Nous avons maintenant tous les éléments de la trame et avons donc la trame complète : 


Adresse MAC DST (destinataire) | Adresse MAC SRC (source) | Protocole de couche 3 


Trame Ethernet 


Quelle taille pour la trame ? 


Il y a des éléments qui ne varient jamais d'une trame à l'autre. L'ensemble de ces éléments est appelé en-tête ou, dans le cas de la 
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couche 2, en-tête Ethernet. Ils sont mdiqués ici en rouge. 


Adresse MAC DST | Adresse MAC SRC | Protocole de couche 3 


Trame Ethernet 


Cet en-tête ne variant pas, nous pouvons définir sa taille : 


e les adresses MAC font chacune 6 octets ; 
e le protocole de couche 3 est codé sur 2 octets ; 
e le CRC est codé sur 4 octets. 


Ce qui donne un total de 18 octets pour l'en-tête Ethernet. 


©) Mais la trame a-t-elle besoin d'une taille minimale ? Et d'une taille maximale ? 





La réponse est oui. La taille minimale permettra de garantir que, lors d'une collision, la machine ayant provoqué la collision 
détectera celle-c1 (l'explication étant un peu complexe et peu utile 1c1, je vous en ferai grâce). 
La taille minimale est de 64 octets, pour une trame Ethernet. 


La raison de la taille maximale est tout autre. 

S'il n'y avait pas de taille maximale, 1l serait possible qu'une machine envoie une gigantesque trame qui occuperait tout le réseau, 
empêchant les autres machines de communiquer. C'est pour éviter ce genre de problème qu'une taille maximale a été choisie. 

La taille maximale est de 1518 octets, pour une trame Ethernet. 





Au passage, on se rend compte que s1 on enlève les 18 octets d'en-tête à la taille maximale, nous tombons sur un chiffre 
rond de 1500 octets de données pour les données à envoyer ! 


Nous savons donc mamtenant tout de la trame Ethernet ! Récapitulons un peu, en observant un échange de données entre deux 
machines A et B. 


Une application sur la machine A veut envoyer des données à une autre application sur une machine B. 

Le message parcourt les couches du modèle OSI de haut en bas. 

La couche 3 indique à la couche 2 quel protocole a été utilisé. 

La couche 2 peut alors former la trame et l'envoyer sur le réseau. 

La machine B reçoit la trame et regarde l'adresse MAC de destination. 

C'est elle ! elle lt donc la suite de la trame. 

Grâce à l'nformation sur le protocole de couche 3 utilisé, elle peut envoyer les données correctement à la couche 3. 
Le message remonte les couches du modèle OST et arrive à l'application sur la machine B. 


Waouh ! Nous savons communiquer entre machines sur un réseau local ! 
Enfin presque, car nous n'avons pas encore vu comment connecter plusieurs machines entre elles, et cela va se faire grâce à un 
matériel particulier... 


on sait mamtenant que le rôle principal de la couche 2 est de connecter les machines sur un réseau local ; 
elle permet aussi de détecter les erreurs ; 

le protocole utilisé en couche 2 est le protocole Ethernet ; 

les cartes réseau ont une adresse quiest l'adresse MAC ; 

l'adresse MAC est codée sur 6 octets, soit 48 bits ; 

chaque adresse MAC est unique au monde ; 

il existe une adresse particulière, l'adresse de broadcast qui permet de parler à tout le monde, FÉFEfE FE FE ; 


Vus connaissez les principes de la couche 2 et nous allons maintenant étudier en détail l'équippement qui permet de connecter 
les machines entre elles, le switch. 
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Le matériel de couche 2, le commutateur 


Dans ce chapitre, nous allons étudier un matériel qui a révolutionné les réseaux. 
Nous verrons comment les machines communiquent grâce à lui et ce que cela a apporté comme technologies réseau. 
Un matériel, le commutateur 


Le commutateur est un matériel qui va pouvoir nous permettre de relier plusieurs machines entre elles. 
On l'appelle auss1switch en anglais. Ce terme étant très souvent utilisé en français, nous pourrons donc utiliser les deux. 


Vus entendrez parfois parler de pont ou bridge en anglais. Un pont n'est rien d'autre qu'un switch avec seulement deux 
ports. Donc si vous connaissez le switch, vous connaissez le pont ! 





Un commutateur est un boîtier sur lequel sont présentes plusieurs prises RJ4S femelles permettant de brancher dessus des 
machines à l'aide de câbles à paires torsadées. Des images valant mieux que des grands discours, voici, à la figure suivante, un 
commutateur. 





Nous allons donc brancher nos machines au switch, voire d'autres switchs à notre switch (figure suivante). 
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© Si tout le monde est connecté ensemble, comment le switch sait à qui envoyer la trame ? 


L'aicuillage des trames 


Pour envoyer la trame vers la bonne machine, le switch se sert de l'adresse MAC destination contenue dans l'en-tête de la trame. 
Il contient en fait une table qui fait l'association entre un port du switch (une prise RJ45 femelle) et une adresse MAC. Cette table 
est appelée la table CAM. 


Prenons un exemple, avec le schéma de la figure suivante. 
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La table CAM de notre switch sera la suivante : 





Quand la machine 23 voudra envoyer une trame à la machine 25, le switch hra l'adresse destination et saura alors vers quel port 
renvoyer la trame : 


Adresse MAC 25 | Adresse MAC 23 (source) | Protocole de couche 3 


Trame envoyée de 23 à 25 





Le switch va donc envoyer la trame sur le port 3, et elle arrivera bien à la machine 25 qui est branchée sur ce port, et à elle seule ! 


Le switch aiguille donc les trames grâce à l'adresse MAC de destination située dans l'en-tête et à sa table CAM qui lui 
dit sur quel port renvoyer cette trame. 





Donc un switch sait aiguiller une trame vers la bonne machine. 


© Comment cette table CAM est fabriquée ? S1 je branche une nouvelle machine, comment le switch la connaît ? 


Mise à jour de la table CAM 


La table CAM du switch va être fabriquée de façon dynamique. Cela veut dire que le switch va apprendre, au fur et à mesure qu'il 
voit passer des trames, quelle machine est branchée à quel port. 


Prenons l'exemple précédent, imagmons que la table CAM du switch est vide et que l'on vient de brancher les machines (voir la 
figure suivante). 
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nc 


Table CAM vide 


Imaginons mamtenant que la machine 23 envoie une trame à la machine 25. 


Adresse MAC 25 (destination) | Adresse MAC 23 (source) | Protocole de couche 3 





Trame envoyée de 23 à 25 


La trame arrive au switch. 
Il Hit l'adresse MAC source et voit l'adresse MAC de la machine 23. 


Vu que la trame vient du port 1, il met en relation le port 1 et l'adresse MAC de la machine 23 dans sa table CAM. 
Il met à jour sa table CAM. 


1 @MAC 23 
Table CAM mise à jour 


nc 





Par contre, l'adresse MAC destination n'est pas présente dans sa table CAM, il ne sait donc pas où envoyer la trame. Pour être 


sûr que la machine destination va recevoir la trame, 1l lui suffit de l'envoyer à tout le monde, donc de renvoyer la trame sur tous 
les ports actifs du switch ! 


Attention, ceci n'est pas un broadcast, car l'adresse de destination dans la trame est l'adresse MAC de la machine 25. 
La trame est envoyée à tout le monde, mais pas en broadcast. 


La machine 25 va donc recevoir la trame et va pouvoir répondre à la machine 23. Elle va donc envoyer une trame à la machine 23. 


Adresse MAC 23 (destination) | Adresse MAC 25 (source) | Protocole de couche 3 


Trame de réponse envoyée de 25 à 23 





La trame arrive au switch. 
Il Hit l'adresse MAC source et voit l'adresse MAC de la machine 25. 


Vu que la trame vient du port 3, il met en relation le port 3 et l'adresse MAC de la machine 25 dans sa table CAM. 
Il met à jour sa table CAM. 





Table CAM mise à jour 
Et amsi de suite à chaque fois qu'il voit passer une trame : 


e le switch met à jour sa table CAM quand il voit passer une trame ; 
e le switch envoie une trame à tout le monde s'il n'a pas l'adresse MAC de destination dans sa table CAM. 
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OK, nous avons vu maintenant comment fonctionnait le switch, mais s1 Je comprends bien, la table CAM ne va jamais 
cesser de grandir vu que l'on y ajoute en permanence des informations ? 





Le TTL de la table CAM 


En réseau, nous allons très, très souvent parler de TTL. 


© Le TTL veut dire Time To Live en anglais, soit Durée De Vie. Il représente donc une durée. 


Le principe est de considérer qu'une donnée est valable pendant un certain temps, mais qu'au-delà de ce temps, elle ne l'est plus. 
C'est un peu l'équivalent des dates de péremption sur les yaourts : le yaourt est mangeable tant que la date n'est pas dépassée. 


Pour une mformation dans la table CAM, c'est pareil. On va considérer que cette mformation est valable un certain temps, mais 
une fois ce temps dépassé, on enlèvera l'nformation de la table CAM. Ainsi la table CAM sera mise à jour régulièrement et les 


données les plus anciennes seront effacées. 


Prenons la table CAM précédente : 





Table CAM 


Table CAM avec le TTL 


Nous allons y ajouter une colonne pour le TTL : 





Nous voyons que le switch a deux mformations et que la seconde est plus récente, car son TTL est élevé. 
Dans 91s, s1 la machine 23 n'a pas parlé (n1 la machine 25), la table CAM sera ainsi : 


Table CAM avec le TTL mis à jour 





Maintenant, s1 la machine 25 envoie une trame, le TTL va être remis à jour, car le switch sait que l'nformation "la machine 25 est 
branchée sur le port 3" est une information récente : 


rm 





@Macas | 12 


Table CAM avec le TTL mis à jour 


Ainsi, la table CAM du switch se remplira ou se mettra à jour après chaque réception d'une trame, et elle se videra quand elle 
n'aura pas reçu de trame depuis longtemps. 


Questions complémentaires 





©) Le switch peut-il découvrir les adresses MAC des machines sur le réseau ? 


Normalement non. Ce n'est pas son rôle, le switch est un élément passif. D'ailleurs, une machine qui est branchée sur un switch 
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envoie la plupart du temps une trame au réseau quand elle voit que sa carte réseau est branchée, donc le switch la verra et mettra 


à jour sa table CAM. 


Le switch a-t-il une adresse MAC ? 





Là encore la réponse est non. Personne n'a besoin de parler avec le switch, donc il ne nécessite pas d'adresse MAC. 


Cependant, certams switchs sont dits « admimistrables », ce qui veut dire que l'on peut se connecter dessus pour les configurer. 


Et dans ce cas, ils ont une adresse MAC pour être identifiés sur le réseau. 


ici en figure suivante la table CAM du switch du réseau de mes élèves. C'est beau, hein ? 
On peut remarquer une chose amusante : il y a au moins 6 machines branchées sur le port 19 de mon switch ! 


FSMF26 Managed Switch 


Status > MSC Address 


MAC : 


MAC Address 


LESC Back <Taobz Move the Cursor 





Est-ce possible ou est-ce une erreur ? 


Delete Flush Query 1< <: 


AC Address 





C'est comme la SNCF, c'est possible ! En fait je ne peux pas brancher plusieurs machines sur un même port. Par contre, je peux 


brancher un switch sur le port de mon switch. Et donc toutes les adresses MAC des machines connectées à ce switch seront 


susceptibles d'apparaître sur le port du premier switch. 


On se doute donc qu'ici il y a un switch branché sur le port 19 du switch que nous observons. 


Connaissant maintenant le fonctionnement d'un switch, comment pensez-vous qu'on puisse faire pour gêner son 
fonctionnement s'il nous en prend l'envie ? Il y a plusieurs façons de le faire. 
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Méthode 1, saturation par envoi massif intelligent. 
Si l'on envoie des tonnes de trames vers des adresses MAC inexistantes, que se passe-t-il ? 


Le switch ne sachant pas vers quel port les envoyer, il va les envoyer vers tous les ports actifs. et va donc vite saturer ! 


Méthode 2, saturation de la table CAM. 
Si l'on envoie des tonnes de trames en utilisant à chaque fois une adresse MAC de source différente, que se passe-t-il ? 


La table CAM du switch va se remplir progressivement. Plus elle sera remplie, plus sa lecture par le switch sera longue, et plus 
cela mduira des temps de latence importants. jusqu'à provoquer l'écroulement du switch. Quand il sera saturé et n'aura plus le 
temps de lire sa table CAM, il enverra directement les trames sur tous les ports. Ceci permettrait à un pirate de voir tout le trafic 
du switch... 

Cependant, nous verrons par la suite qu'il existe des méthodes bien plus puissantes pour voir le trafic circulant sur un switch. 


Nous savons donc à quoi sert un switch et comment il marche. Nous allons mantenant regarder les impacts que le switch a eus 
sur le réseau. 


La révolution du commutateur 
Qu'a apporté la commutation ? 


À priori, on peut se dire que par rapport à un hub, un commutateur permet d'isoler les conversations. Ceci dit, les conséquences 
de l'isolation des communications sont énormes ! 


La commutation m'a tuer (petite référence...) 


C'est la phrase qu'aurait pu dire le CSMA/CD. us vous rappelez le chapitre précédent ? Le CSMA/CD permet de s'affranchir 
des problèmes de collisions sur un réseau en bus. 





© Mais y a-t-il toujours des collisions sur un switch ? 


Regardons les cas possibles de plus près (voir la figure suivante). 





CR En 


Imaginons que les machines 23 et 25 se parlent en même temps : y a-t-il collision ? On peut se dire que, vu que les messages vont 
être envoyés en même temps, ils vont se superposer. Mais ce serait oublier la structure des câbles à paires torsadées ! 

En paire torsadée, nous utilisons des fils différents pour la transmission et la réception, donc les messages vont se croiser, 
mais sur des fils différents ! 


Un schéma plus réel d'un switch serait celui de la figure suivante. 
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On voit bien ici les paires de réception et de transmission différentes. Il n'y a donc pas de collision dans ce cas. 


Observons un autre cas : Imaginons avec le schéma précédent que les machines 23 et 25 parlent en même temps à la machine 24. 
Dans ce cas, les deux messages vont arriver en même temps sur la paire de réception de la machine 24, et badaboum, il y aura 
collision... ou pas. 

Ce cas a été prévu et les switchs imagmés en conséquence. 

En fait, le switch possède une mémoire dans laquelle il peut stocker une ou plusieurs trames quand il les reçoit. Il ne renvoie 
cette trame que s1 la paire de transmission de la machine à qui elle est destinée est hbre. Ainsi, quand il a deux trames à envoyer 
sur la même paire de transmission, 1l envoie la première, puis la seconde. Il n'y a alors pas de collision. 





© Mais alors, il n'y a pas de collisions sur un switch ? 


Non. Ou alors, c'est qu'on l'a configuré pour qu'il y en ait (nous le verrons par la suite). 





©) Et donc s'iln'y a plus de collisions, ce n'est plus la peine de faire du CSMA/CD ? 


Non plus ! Fini, exit le CSMA/CD ! Avant, les machines devaient écouter avant d'envoyer une trame pour vérifier que le réseau 
était hbre, c'était le CSMA/CD. Maintenant, dès qu'une machine veut envoyer une trame, elle l'envoie, sans se soucier de savoir 
si quelqu'un d'autre est en tram de parler, car elle est sûre et certaine que cela ne provoquera pas de collision ! 


Le fait d'abandonner le CSMA/CD porte un nom. On dit que la carte réseau fonctionne en full duplex. 
A l'nverse, quand on fait du CSMA/OD sur un hub ou un câble coaxial, la carte réseau fonctionne en half duplex . 


Le switch a donc révolutionné les réseaux, notamment en amenant le full duplex. Mais attention, nous allons voir comment le full 
duplex peut être auss1 destructeur que performant. 


Le full duplex m'a tuer 


Le full duplex, c'est super ! Encore faut-il qu'il soit utilisé à bon escient, et ce n'est pas toujours le cas. Il peut parfois faire des 
ravages. 

Imagmez qu'on branche 10 machines sur un hub. Nous sommes sur un hub, donc sur une topologie en bus, donc les machines 
doivent être en half duplex et faire du CSMA/CD. 





©) Que se passe-t-il s1 la carte réseau de l'une d'entre elles est configurée en full duplex ? 


Eh bien cela est très, très gênant. Tout simplement, car les neuf autres machines attendent que le hub soit libre avant de pouvoir 
parler, et s1 jamais quelqu'un parle en même temps qu'elles, elles considèrent qu'il y a une collision. 

Alors que notre machine en full duplex ne se soucie de rien, parle quand elle veut, ne détecte aucune des collisions quise 
produisent. Bref, c'est la m... 


Pire encore, s1 cette machine est en tram de télécharger un gros fichier, elle parle en permanence et empêche toutes les autres de 
parler. Le réseau est alors mutilisable pour nos neuf machines ! C2 
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Nous voyons donc que toute machine connectée à un hub doit automatiquement avoir sa carte réseau configurée en 
half duplex. 





À 


Ah bon ? Mais moi je ne configure jamais ma carte pourtant ? Eh bien vous avez de la chance ! Ou plutôt nous avons la chance 
que les cartes réseau soient intelligentes et capables de déterminer seules le duplex à utiliser. Ainsi, quand une carte réseau 
est branchée, elle est capable de déterminer s1 elle doit fonctionner en full duplex ou en half duplex. Branchée à un hub, elle se 
mettra en half duplex ; branchée à un switch, elle se mettra en full duplex. 


© Et s1 Je branche un hub à un switch ? 


C'est une très bonne question ! Merci de l'avoir posée. 
Le hub ne peut pas être configuré, il fait du half duplex, point. Il ne pourra de toute façon jamais faire autre chose, car il 
fonctionne comme une topologie en bus qui nécessite le CSMA/CD. Le switch va donc devoir s'adapter. 





En fait, pas tout le switch, seulement le port du switch sur lequel est branché le hub. Ce port du switch fonctionnera en half 
duplex, et tous les autres ports en full duplex. Normalement le switch le détectera comme un grand, mais ilest souvent possible 
de le modifier soi-même, à la main, sur les switchs admmistrables (voir la figure suivante). 


20 Not Defined Le | BIk Auto Auto Normal N/A 
21 Not Defined " v! Fwd Auto 100 Auto FC Normal N/A 
22 Not Defined FT v BIk Auto Auto Normal N/A 
23 Not Defined … v! Fwd Auto 100 Auto FC Normal N/A 
24 Not Defined … v Fwd Auto 100 Auto FC Normal N/A 
25GbE Not Defined F v! Fwd Auto 100 Auto FC Normal N/A 
26GbE Not Defined FT v! BIk Auto Auto Normal N/A 


Nous voyons ici que le port 21 du switch fonctionne en 100 Mbps et le FC indique le full duplex. 


©) Et s1 jamais je branche une machine en half duplex sur un switch ? 


Il peut arriver que la négociation de duplex ne fonctionne pas et qu'une machine soit en half duplex sur le port d'un switch en full 
duplex. 

Dans ce cas cette machine se verra grandement pénalisée, car à chaque fois que quelqu'un lui parlera, elle ne pourra pas parler en 
même temps. 

Ceci ne serait pas grave s1 l'on n'avait pas de broadcasts. Mais malheureusement, à chaque broadcast elle devra se taire et 
abandonner son envoi en cours. Cela se traduit par de grandes latences réseau. 


Heureusement cette machine sera la seule touchée et le reste du réseau fonctionnera parfaitement ! 
En revanche, pour l'utilisateur en question, c'est la croix et la bannière. {=} 





Il faut donc en conclure que dans l'énorme majorité des cas, vous n'aurez jamais à vous soucier du duplex. 
Cependant, il est bon de connaître ce fonctionnement, car s1 jamais vous êtes confrontés à un problème de ce genre et que vous 
ne le connaissez pas. bonne chance ! 


Faisons un petit point sur tout ce que nous avons vu sur le commutateur. 
Un gain gigantesque 
Oui, on peut dire que la commutation a apporté un gain gigantesque aux réseaux : 


e Les conversations sont isolées, ce qui apporte un gain en sécurité. 
e On peut recevoir en même temps que l'on envoie des données, ce qui double théoriquement le débit. 
e Chaque machine peut parler quand elle le souhaite et n'a pas à attendre que le réseau soit libre, on gagne encore en débit. 


Merci le commutateur ! 
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Maintenant que nous avons vu tous les bienfaits que le switch a apportés, nous allons voir une de ses fonctionnalités avancées 
qui a encore permis d'améliorer les réseaux. 


J'ai nommé les VLANS ! 
Pour aller plus loin, les VLANS 


Au-delà de la commutation (le fait d'aiguiller une trame vers un port), les switchs ont acquis de nouvelles capacités au cours du 
temps pour améliorer le fonctionnement des réseaux. Une de ces fonctionnalités est très répandue et mtéressante, il s'agit des 
VLANS. 


Qu'est-ce qu'un VLAN ? 
Un VLAN est un LAN virtuel (ou virtual LAN en anglais). 


Sachant qu'un LAN est un réseau local (ou Local Area Network en anglais) un VLAN est donc un réseau local virtuel. 


Ça ne nous aide malheureusement pas beaucoup à mieux comprendre de quoi il s'agit... mais la réalité est beaucoup plus simple. 





© Un VLAN est la capacité de séparer des ports d'un switch dans des réseaux différents. 


Cela revient à séparer certains ports d'un switch. Ils ne pourront donc plus communiquer ensemble, vraiment plus du tout. 
Prenons un exemple, illustré en figure suivante. 


| 1 | 





En | nm | =] M] M] m1 


Nous avons un switch de 10 ports sur lequel sont branchées six machines. 

Nous souhaitons que ces groupes de machines ne puissent pas parler entre eux. Les trois premières parlent ensemble, les trois 
autres aussi, mais pas d'un groupe à l'autre. Les VLANS peuvent nous aider à faire cela ! 

L'idée du VLAN est de couper notre switch en plusieurs morceaux, comme s1 l'on avait plusieurs switchs. 

Dans notre cas, nous allons créer deux VLANS. Un VLAN pour les trois machines de gauche, et un autre pour les trois machines 
de droite. 


Ainsi, nous aurons fait en sorte qu'elles ne puissent plus parler entre elles d'un groupe à l'autre. 


ici à la figure suivante ce que cela donne. 
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Im] (nm) 





Nous voyons ici en vert et en rouge les deux VLANSs. Ainsi, les machines connectées aux ports appartenant au VLAN vert ne 
peuvent communiquer qu'avec le VLAN vert. Et de même pour les machines connectées aux ports appartenant au VLAN rouge. 
Par contre, il est impossible pour une machine connectée au VLAN vert de communiquer avec une machine connectée au VLAN 
rouge. C'est comme s1 l'on avait séparé le switch en deux petits switchs, chacun ayant sa propre table CAM, comme sur la figure 
suivante. 





Quel est l'intérêt des VLANS ? 


Dans l'exemple que nous avons choisi, l'intérêt n'est pas flagrant, mais imagmons que nous ayons à gérer une école, avec une 
administration, 100 enseignants et 1000 élèves. Nous avons alors plusieurs switchs répartis dans l'école. Des gros switchs de 256 
ports ! (on appelle cela souvent des châssis.) 

Il est mtéressant de pouvoir segmenter ces switchs pour séparer les trois populations, pour que les élèves n'aient pas accès au 
réseau administratif ou à celui des enseignants, et que les enseignants n'aient pas accès au réseau administratif (pour changer 
leur fiche de paye par exemple). Plutôt que d'acheter 25 petits switchs de 48 ports, on en achète 5 gros de 256 ports. 


En plus de la sécurité offerte par la séparation des réseaux, cela apporte de la facilité de configuration. Si je veux qu'un port passe 
d'un VLAN à un autre, 1l me suffit de le configurer sur le switch. 


Je peux faire tout cela sans bouger de mon bureau d'administrateur réseau à travers une interface web d'administration du switch, 
comme vous pouvez le voir sur la figure suivante. 













































































Port PVID Port PVID Port PVID Port PVID 

1 1 2 l 3 1 4 1 

5 c 6 2 7 2 8 1 

9 1 10 1 11 1 12 1 

13 4 14 4 15 1 16 ’ 

17 1 18 1 19 1 20 1 

21 1 22 1 23 1 24 1 
25GT 3 26GT 1 | 
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On voit ici que chaque port peut être positionné dans un VLAN donné. 
Ici le port 1 est dans le VLAN 1 alors que le port 5 est dans le VLAN 2. Les machines connectées sur ces ports ne pourront pas 
communiquer ensemble. 





© Un VLAN permet donc d'isoler certains ports d'un switch par rapport aux autres, comme s1 l'on coupait le switch en 
deux. 





©) Est-ce vraiment impossible de passer d'un VLAN à un autre ? 


Non. Ce n'est pas impossible, mais presque. D'ailleurs, rien n'est impossible en réseau. Si c'est impossible, c'est juste que 
personne ne l'a encore fait | 


Dans le cas des VLANS, cela a déjà été fait. Cela s'appelle du VLAN hoppineg. 
Malheureusement pour nous, les failles de conception qui le permettaient ont été corrigées et le VLAN hopping n'est plus 
d'actualité (jusqu'à ce que quelqu'un trouve une nouvelle faille….). 


vous savez maintenant connecter des machines ensemble ; 

vous savez aussi créer un réseau local ; 

vous pouvez faire communiquer des machines ensemble sur un réseau local ; 

vous comprenez comment les machines communiquent et comment sont aiguillées les informations sur le réseau. 


Il est mantenant temps de mettre en pratique tout ce que nous avons appris. 
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Et maintenant, la pratique ! 


Dans ce chapitre, nous allons essayer de mettre en pratique ce que vous avez appris : il y aura des exercices et des petits TPs. 
L'objectif est de comprendre comment les concepts réseau sont réellement mis en œuvre. Cela vous permettra de bien retenir les 
informations apprises, alors ne négligez pas cette partie pratique ! 


La couche 2 sur ma machine 


Nous allons rapidement voir où les mformations que nous avons détaillées se situent sur notre machine. Pour suivre cette partie, 
vous devrez avoir un minimum de connaissances pour savoir où trouver les mformations sous Windows, ainsi que quelques 
notions de Bash sous Linux. Si ces notions vous sont mconnues, faites de votre mieux, mais ce ne sera pas facile. 


Sous Windows 


Je ne suis pas tout à fait au goût du jour, et pour des raisons de performances, j'ai choisi de faire ma présentation sous Windows 
XP SP2. Cependant, quel que soit le système Windows sur lequel vous êtes, le principe reste le même : accéder aux informations 
de la carte réseau. 


Sous Windows, nous allons la plupart du temps avoir deux méthodes pour récupérer des informations : grâce à l'interface 
graphique ou en ligne de commande. Sachant que parfois, seule l'une de ces deuxméthodes permet de faire ce que nous 
souhaitons. 


En ligne de commande 


Ouvrez une invite de commande (cette fois je vous donne les infos, mais après vous devez être autonomes). 
Cliquez sur Démarrer,Exécuter et tapez cmd, puis Ok. Une fenêtre noire s'affiche, semblable à celle que vous pouvez voir 
en figure suivante : c'est l'invite de commande ! 


ystem32\cmd.e) - 0! x| 


ce C'\WINDOWS\sys 
icrosoft Windows #P [uersion 5.1.268H61 
CC) Copuright 1965-2881 Microsoft Corp. 













| 





C=:“Documents and Settings Administrateur: 


La commande de base pour avoir des mformations sur votre carte réseau est ipconfig. 
Toutefois, pour avoir les informations que nous souhaitons, il va falloir en demander un peu plus à la commande ipconfigen 
lui mettant l'option /a1l1,comme c'est indiqué sur la figure suivante. 
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_-|5| xl 


GC: Documents and Settings Mdministrateur*ipconfig all 


Confiquration IF de Windows 


Nom de l'hôte ; 
Suffixe DNS principal . .- . .- - : 
Tupe de noud 
Routage IP activé . 
Proxy UINS activé . 


Carte Ethernet Connexion au réseau local: 


Suffixe DNS propre à la connexion 
Description 


Adresse physique 
DHCP activé. 
Configuration automatique 
Adresse IP. 
Masque de sous-réseau 
Passerelle par défaut 
Serveur DHCP. 
Serveurs DNS 


Bail obtenu 
Bail expirant 


C: Documents and Settings Mdministrateur 





eric-2Hazefs ch 


Hubride 
Mon 
Mon 


UMuare Accelerated AMD FCNet Adapter 


nn-AC-29-E6-48-024 
Qu 1 

.__- - = Oui 

1H.8.98.151i 

255.255.248.8 

1H.8.97.1 

1H.8.97.1 

1H.8.97.1 

192.168.1.1 

vendredi 5 novembre 2018 18:29:59 
samedi 6 novembre 2616 14:29:59 


Nous voyons encore beaucoup d'informations, mais celle qui nous mtéresse est l'adresse de notre carte réseau, l'adresse MAC. 
Nous pouvons la voir sous le nom d'adresse physique et nous voyons qu'icisa valeur est 00-0C-29-F6-4B-D2. 


Super, nous avons trouvé notre adresse MAC ! 


Nous avons vu aussi beaucoup d'autres mformations, mais celles-ci ne nous mtéresseront pas pour l'instant. 
Passons à la partie graphique dans laquelle nous allons voir plus d'éléments. 


L'nterface graphique va nous permettre auss1 d'accéder aux mformations de notre carte réseau. 
Il y a différents moyens d'arriver aux informations réseau. Nous allons passer par le Panneau de configuration. Cliquez 
sur Connexions réseau. Wus allezensuite faire un clic droit sur Connexion au réseau local et choisir 


Propriétés (voir la figure suivante). 


Www.openclassrooms.com 


Partie 1 : Comment communiquer sur un réseau local ? 55/220 





- Propriétés de Connexion au réseau local 


| Général | Authentification | Avancé 


Le connecter en dilsant : 


ES VMware Accelerated AMD PCMet 4d 


Cette connesion dblige les éléments survants : 


[El Client pour les réseaux Microsoft 

A Partage de hchiers et d'imprimantes pour les réseaux MI. 
= Planiicateur de paquets Qoi 

# Protocole Internet [TCP/IP] 


Inétaller… Désinstaller Propriétés 


Cescription 


Permet 3 votre ordinateur d'accéder aux ressources d'un 
réseau Microsoft. 


Afficher lcône dans la zone de notification une fois connecté 


M'indiquer a cette connésion à une connectraité limitée ou 
Inesistante 





Pour accéder aux mformations de la carte réseau, il faut cliquer sur Configurer, puis sur l'onglet Avancé. 
Et comme vous pouvezle constater sur la figure suivante, toutes les mformations propres à la carte réseau sont là ! 


Propriétés de VMware Accelerated AMD PCMNet Adapter HE3 


| Général! Évancé | Pilote | Ressources 


Les propriétés suivantes sont disponibles pour cette carte réseau. 
Cliquez sur la propriété que vous voulez modifier à gauche, puis 
sélectionnez £a valeur à droite. 


Prapriété : 
Céchargerment TCPAIP 
Cuples intégral 
Marquage IEEE 804 1p 
Mode MP 
MTL 
Hetuorkéäddress 
PH Esterne 


TF Mode 
Ts0oË nable 


Valeur : 


| Inactif [par défaut] F | 
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A\ Attention, 1l peut y avoir différentes options selon les capacités de votre carte. 


Nous pouvons voir le full duplex dans la rubrique duplex mtégral, ams1 que l'adresse MAC dans NetworkAddress. Par défaut, on 
ne la voit pas, car elle est inscrite en dur dans la carte réseau, mais ma carte permet de la modifier. Allons-y (voir la figure 
suivante) ! 


Propriétés de VMware Accelerated AMD PCMet Adapter H1E3 


Général| Svancé | Pilote | Ressources 


Les propriétés sulvantes sont disponibles pour cette carte réseau. 
Cliquez sur la propriété que vous voulez modifier à gauche, puis 
sélectionnez $a valeur à droite. 


Propriété : 
Créchargerment TCP/IP 
Ciuples intégral 
Marquage IEEE 804 1p 
Mode MP 
MTL 
HetworkSddress 
PH'Y Esterne 


TP Mode 
Ts0oË nable 


Waleur : 


Q [oc 02030405 


î äbéent 





En validant, nous voyons que la modification est effective (voir la figure suivante) ! 
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Le Invite dec [al xl 


Microsoft Windows #FP [uersion 5.1.26981] 
C2 Copyright 1965-2881 Microsoft Corp. 


C:\Documents and Settings Mdministrateur*ipconfig “all 


Confiquration IF de Windows 


Nom de l'hôte . eric-/Hazef5 ch 
Suffixe DNS principal . . . - - :- 

Tupe de noud . 0e ee - Hubride 

Routage IP activé 0 0. 0. 0 . . . 

Proxy VINS activé . 0 0. . . . . 


Carte Ethernet Connexion au réseau local: 


Suffixe DNS propre à la connexion 
Description... em UMuare Âccelerated AMD FCNet Adapter 


Adresse physique . . . - .: 09-601-42-035-94-65 
DHCP activé. - . - . - NITR 

Configuration automatique 
hares selon ns 
Masque de sous-réseau . - 
Passerelle par défaut . - 
Serveur DHCP. .. . . . - 
Serveurs DMSE . - re 


= = - =: Qui 

1n.8.98.231 

255.25656.244.6 

1H.8.97.1 

1h.8.97.1 

1hH.8.97.1 

1972.168.1.1 

vendredi 5 novembre 28H11 14:32:28 
sanedi 6 novembre 2818 12:32:28 


Bail obtenu . . Re 
Bail expirant .- Se 


C: Documents and Settings dministrateurx. 





Nous venons de modifier notre adresse MAC ! 


sur l'adresse MAC d'une machine... 





| à) Dans certains cas, il peut être intéressant de modifier son adresse MAC, notamment s1 une authentification wifi se base 


Ça y est, nous sommes de vrais pirates !1 





Pas encore, mais comme vous le voyez, quand on maîtrise ce que l'on fait et qu'on le comprend, on peut vite sortir des sentiers 
battus et faire des choses intéressantes. 


Regardons mamtenant comment accéder à ces mformations sous Linux 


Sous Linux 


Non, je rigole, on ne fait pas d'interface graphique sous Linux! 
Tout simplement car, contrairement à Windows, tout est accessible par l'interface en ligne de commande, l'inverse n'étant pas 
vrai. Alors on prend dès maintenant les bonnes habitudes et on travaille avec l'nterface en ligne de commande. 


La commande est presque la même sous Linux que sous Windows, à une lettre près. Il s'agit de la commande ifconfig: 


Code : Console 


lontere Mate conac)] 

eth0 Link encap:Ethernet HWaddr 00:08:02:3f:ee:bb 
ner paccdrs LOMME r 2 EN C-eice PONS APM SE mask 525522 00 
inet6 addr: fe80::208:2ff:fe3f:eebb/64 Scope:Link 
DÉSPRCP DER RS RUNNING MURERrerS STATUS OMS EC 
RX packets:12845108 errors:0"Ndropped:0\overruns:0" EFrame:0 
TAbpackéts MS 0IS été rors ON dope OMoOLE rumss Res Errere 0 
collisions:0 txqueuelen:1000 
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RÉMeNreee, 222008 20 CNE OR CE ANR NS Eee 55 2 2MS MISES SON CRE; 


iËe; Frinkteéncaib: Fo cross pbhack 
acces 7 OMC UE Se 0 20 0 200 
inéto addr 128 Scope: Host 
DÉNPOOPEACR RUNNING PES MErenS "| 
RéNpacker= 18672606 errors DNdroppediONovVer uns t0Mrerame:t0 
Tabacketrs 10766 rror- -DMiroppediDNovereuns 100 4rraer 0 
Cols ions 0 trqueuelren.:0 
RS bVEeS 270960 OM EN CE) Ab yes: 2796002 P Cire) 


Nous voyons ici encore une fois notre adresse MAC en face de HWaddr qui est 00:08:02:3f:ee:bb 


Ce n'est pas la même que sous Windows, mais c'est normal puisque ce n'est pas la même machine, donc pas la même carte réseau. 


On peut, là encore, modifier son adresse MAC s1 notre carte réseau le supporte. 


Code : Console 


homer MC OoN re PhUMANee he mUt0:80%10%07%0% 

homer re CN rar 

eth0 FinkSencapiitherneemANaddr 00010205 :07%%10% 
ne bpacders OP SS2 ner C-e0. PONS PMR SEMAMaS ke 5225527070 
inet6 addr: fe80::208:2ff:fe3f:eebb/64 Scope:Link 
DENÉROCE DE TS RUNNENCRMUEECSSTSOTTUrE PS OU0OMANSErRe 
Frepacketrs 1078026 Crerers/Dhdrcpsedi0Moverruns : 0nrrame 0 
TApickebrS MMS OS MSN Eros OMdroppedONorEe runs ONtesrrrer- 0 
COIMMS ions 0 trkaueuelten: 1000 
Mb res 2027506002 ONCE NT SR Ver 02776 MOSS OS CRE) 


Vus pourrez regarder de plus près les options de ifconfig pour voir toutes les fonctionnalités que vous pouvez configurer, en 


utilis ant le man. 


Wilà, nous avons rapidement vu comment la couche 2 était implémentée sur nos machines. Il nous reste à faire quelques 


exercices |! 


Exo 1 : Quand la boucle est bouclée 


Ça y est, vous avez achevé votre formation d'administrateur systèmes et réseaux, et vous venez d'être embauché par une petite 


société. 
On vous explique brièvement l'architecture réseau employée (voir la figure suivante). 


sts 
nm 








—_ 
EE ] st EE] 3 


Il y a trois switchs connectés entre eux, et quelques machines branchées sur chaque switch. 
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Problème : la semaine dernière, le switch 5, qui est au milieu, est tombé en panne et les machines des switch 1 et 9 ne pouvaient 
alors plus se parler ! 


On vous demande donc de trouver une solution pour que le réseau puisse continuer de fonctionner, même s1 l'un des switchs 
tombe en panne. 

Ni une ni deux, vous vous dites qu'il faudrait relier les switchs 1 et 9, comme ça s1 n'importe lequel des switchs tombe en panne, 
les deux autres seront toujours reliés … 


Et patatras… 


Une heure à peine après que vous ayez relié les switchs, le réseau ne marche plus, plus personne n'a accès à Internet et on 
n'arrive même plus à communiquer avec les machines sur le réseau local. 


© Que se passe-t-il ? 


Vus venez de créer ce que l'on appelle une boucle de commutation et ceci est très grave ! 





Cette boucle est grave, car elle offre deux chemins possibles pour attemdre une destination. 
Dans le cas de l'envoi d'une trame vers une machine, le switch empruntera ces deux chemins et la trame arrivera à destination 
deux fois. Pas de quoi fouetter un tchat ! 


Néanmoins, cela devient très gênant dans le cas d'un broadcast ! 

En effet, notre broadcast va être envoyé sur les deux chemins puis, arrivé au prochain switch, 1l va être renvoyé par les deux 
chemins possibles puis, arrivé au prochain switch, renvoyé par les deux chemins possibles, etc. 

Et amsi de suite jusqu'à ce que les switchs aient trop de broadcasts à traiter en même temps et soient complètement saturés. 
Ce phénomène s'appelle une tempête de broadcasts (ou broadcasts storm en anglais). 

Il est extrêmement puissant et peut faire écrouler les plus grands réseaux. J'ai déjà vu un réseau de 15 000 machines s'écrouler 
pendant plusieurs jours à cause d'un problème de ce genre. 


Et 1l suffit de créer une simple petite boucle... Il suffit de relier les deux extrémités d'un câble à un même switch... 
Vus pourrez tester chez vous, ça marche ! 


€) OK, mais alors comment répondre au problème initial ? 





In'y a pas de solution. Du moins pas dans l'état actuel de nos connaissances. 


Pour ceux qui veulent aller plus loin, vous pourrez vous renseigner sur le web à propos des technologies de spanning tree, fast 
spanning tree et S02.1d. 





AN Ce qu'il faut en retenir : ne jamais faire de boucles sur, ou entre, des switchs ! 


Exo 2 : Le simulateur de réseaux 
Installation du logiciel de simulation réseau. 


Il y a des profs de réseau qui sont bien, et Pierre Loisel en est un. 
Cet enseignant a créé un logiciel de simulation réseau pour mieux apprendre à ses élèves comment fonctionnent ceux-c1. Si, ça, ce 
n'est pas du dévouement... Et en plus, 1l permet à chacun de s'en servir, alors profitons-en ! 


Il existe une version gratuite en ligne que vous pouvez télécharger ici. Ce fichier .zip contient le simulateur amsi que la 
documentation et quelques exemples. 


| Ilexiste désormais une version plus évoluée de cet outil qui contmue à être mise à jour et qui est payante. Wus pourrez 
trouver toutes les mformations nécessaires ici. 





Nous allons donc nous servir du simulateur. Il n'y a pas d'installation à faire, c'est juste un exécutable qui n'a pas besoin d'être 
installé. Il a seulement besoin du framework .net pour fonctionner. Si jamais l'exécutable ne fonctionne pas, vous pouvez 
télécharger le Framework .Net. Ou télécharger une version plus récente s1 vous le souhaitez. 
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Vus pouvez mamtenant faire un double-clic sur le simulateur.exe pour le lancer. 





#\ Lisez la documentation jusqu'à la fin du chapitre B/ pour apprendre à manipuler le simulateur. 


Vus êtes donc maintenant confortablement installés devant votre simulateur réseau. 


Premiers pas avec 3 hubs 


Vus allez, dans un premier temps, essayer de configurer votre réseau avec trois hubs que vous allez reher entre eux, sans utiliser 
le port le plus à droite du hub ! Ajoutez une machine sur chacun d'entre eux. Wus devriez avoir un schéma à peu près comme 
celui de la figure suivante. 


std 


st} 





Si vous avez encore des ports en rouge, c'est que vos câbles ne sont pas bien configurés ! 





Â 


Essayez mamtenant de relier les deuxhubs qui ne sont pas reliés directement, puis essayez d'envoyer une trame en broadcast 
(clic droit sur une carte réseau, émettre une trame, OK). 


2 Que se passe-t-il et pourquoi ? 


Il y a un message d'erreur nous mdiquant qu'il y a une boucle ! C'est bien normal et vous le saviez déjà, non ? 





Enlevez un des câbles et essayez à nouveau d'envoyer une trame en broadcast, puis en unicast vers une autre machine. 






© L'unicast est l'utilisation normale des réseaux, quand on envoie une trame vers une unique destination. 


2 Quelle différence observez-vous entre les deux cas et pourquoi ? 


I n'y a pas de différence ! En effet, nous sommes sur un hub et les trames sont, de toute façon, envoyées à tout le monde, de la 
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même manière qu'en broadcast. 


On passe au switch ! 


Maintenant, faites un réseau avec un seul switch et trois machines, comme indiqué sur la figure suivante. 





Faites un clic droit sur le switch et videz la table mac/port. Wus allez maintenant envoyer une trame unicast vers une des deux 
autres machines. 


© Que va-t-il se passer ? 


Le switch envoie la trame vers toutes les machines, car il n'a pour l'instant aucune information dans sa table CAM. 








©) Si l'on renvoie un paquet identique, que va-t-il se passer ? 


La même chose ! Le switch a appris que la machine 1 était sur le port 1, mais il ne sait toujours pas sur quel port se trouve la 
machine destination. 


Nous allons maintenant voir comment fonctionne le switch. Pour cela, nous allons suivre son fonctionnement en cliquant sur 
aucun nœud tracé". On sélectionne ensuite sw1, que l'on passe du côté des nœuds tracés. 
Envoyezune trame d'une machine à une autre et observez les étapes du fonctionnement du switch. 


Maintenant ça va être à vous de jouer ! 
Passez en mode manuel et envoyez une trame d'une machine à une autre. C'est maintenant à vous de déterminer ce que doit faire 
le switch ! 


Nous avons fininos exercices avec le simulateur, mais vous pouvez en explorer les fonctionnalités et vous amuser tant que vous 
voulez. 
Exo 3 : Ecriture d'une trame 


Dans cet exercice, nous allons essayer de comprendre le contenu d'une trame lorsqu'elle sort d'une machine sur le réseau. 
Prenons le réseau indiqué sur la figure suivante. 
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Imagmons que la station 1 envoie une trame à la station 3. 


Écrivez la trame à la sortie de la machine 1 (vous connaissez maintenant le format d'une trame, cet exercice consistera simplement 
à mettre les bonnes mformations dans les bons champs de l'en-tête Ethernet). 
Rappel du format d'une trame: 


Adresse MAC DST | Adresse MAC SRC | Protocole de couche 3 


Solution: 


Adresse MAC station 3 | Adresse MAC station 1 | Protocole de couche 3 


C'était trop facile non ? a) 


C'est normal, car nous avançons petit à petit. Nous verrons que nous referons cet exercice quand nous aborderons les autres 
couches du modèle OSI. Et cela se corsera un peu ! 


Félicitations s1 vous avez réussitous ces exercices, nous pouvons maintenant passer à la suite. 


Vus savez donc quel matériel utiliser pour mettre en place un réseau local ; 

vous savez comment les machines communiquent sur un réseau local ; 

le matériel de couche 2, le switch, aiguille les informations d'une machine à une autre sur un réseau local ; 
vous savez où les mformations de couche 2 sont situées sur votre machine. 


En tant que professionnels de la couche 2, vous êtes prêts à passer à une couche plus complexe, la couche 3. 


Nous connaissons presque tout des couches 1 et 2, ilest grand temps de passer à la couche 3 qui va nous ouvrir de nouveau 
horizons. 
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Partie 2 : Communiquer entre réseaux 


Ce chapitre présente la couche 3 du modèle OST et tout ce qui permet d'identifier les réseaux et de communiquer entre eux. 


La couche 3 


Nous savons mamtenant faire communiquer ensemble des machines qui sont branchées sur un même réseau. Nous allons 
maintenant voir comment leur permettre de communiquer avec des machines à l'extérieur de leur réseau. 

D'ailleurs, nous utilisons le mot réseau, mais de quoi s'agit-il exactement ? Nous allons voir tous ces éléments dans ce chapitre 
qui est le chapitre phare du cours, car il concerne LE protocole d'Internet, IP. 


Accrochez vos ceintures ! 


La couche 3, ses rôles 
La couche 3 est la couche réseau. C'est son nom. 
C'est un peu réducteur pour les autres couches, mais pour une fois le nomest relativement en adéquation avec son rôle ! 


Donc ce qui nous intéresse, c'est de savoir dans un premier temps quel est son rôle. Nous savons déjà communiquer sur un 
réseau local : la couche 3 va nous permettre de communiquer entre réseaux ! 





à, Le rôle de la couche 3 est donc d'interconnecter les réseaux. 


Cela va nous permettre d'envoyer un message d'un réseau à un autre. 





, Mais comment envoyer un message à un réseau auquel nous ne sommes pas directement reliés et qui peut parfois être 
à l'autre bout du monde ? 


Eh bien nous allons voir que les réseaux sont tous reliés entre eux, comme une chaîne. 

Internet est comme un énorme ensemble de réseaux collés les uns aux autres, un peu comme des pièces dans une grande maison. 
Pour aller du salon à la chambre, on passe par plusieurs pièces. 

C'est pareil pour les réseaux. Pour aller de mon réseau au réseau du Site du Zéro, je passe par plusieurs réseaux mtermédiaires, 
comme indiqué sur la figure suivante. 
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Réseau 2 Réseau 


Mon Réseau 





Mon ordinateur 


D'ailleurs, on voit bien qu'il y a potentiellement plusieurs chemins possibles pour aller de mon réseau à celui du Site du Zéro. 


La couche 3 va donc me permettre de joindre n'importe quel réseau sur Internet, en passant à travers d'autres réseaux. 
Ma connexion à une machine sur un autre réseau se fera à travers des réseaux, de proche en proche. 


Nous pouvons très bien illustrer ceci en utilisant la commande traceroute sous Linux (ou tracert sous Windows). 


La commande traceroute permet d'indiquer par quelles machmes nous passons pour aller d'un point à un autre sur 
Internet. 





Ceci n'est pas un TP, mais juste une illustration du cours ! 


Code : Console 


ebe- robe St de ele be co 
traceroute to www.siteduzero.com (92.243.25.239), 30 hops max, 40 byte packets 
PARC HE LRÉtr. FONDS 07e AO SOMME) O7 TN 7 0 Sins 
TOUL OLaUL 92006 Sr) DAS Site AUS SE MR PORC SC RTE 
nr lyr Cd | ce le Clos 
internet tr tl95562217%501 DÉS MONS ES Mn SN TS CNT ne TE One 
TMS Me eeltue 
rene Promos SC re2 5) A2 SOS qe A AS A7 RSA TE COS te 
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MAI nCECe OC core? ct 27" CluE 
internet. tro (62,540: 109) ASUS TS a TRS SMS 7 0e 
Cdi lien mibe re M6 2002072") 520000 SN TOC ES CC re 
7  po88-]d4.core4- 
db bs onmdene a poeme 26 RS SO ns Ce Pie 60 3m 
CRIS CES el 
Je DOoS  odncubine 2 OISE) RS 0000 m0 ms 70 Sms 
JMS 2e Smet re (0222222) DS ne RS O0 OT 


Pour détailler un peu le contenu, chacune des lignes correspond à une machme que nous avons rencontrée sur Internet. 


À la ligne 1 : ENCORE CESR OR ECNRES ECO C OP CREER 
nous avons rencontré la machme labo.itinet.fr en à peu près 2 milisecondes (rapide, non ?). 





Puis on voit à la ligne 2 que nous passons par une neufbox, et aux lignes 3, 4 et 5 par club-internet (ce qui est normal puisqu'il 
s'agit de mon hébergeur). 


Nous voyons ensuite que nous passons par un certain gandinet. C'est un registraire et hébergeur connu. Ft d'après la ligne &, 
on dirait bien que le Site du Zéro est hébergé chez gandinet, car c'est la dernière étape juste avant d'arriver au Site du Zéro qui 
est hébergé sur la machine 1isa.simple-it.fr. 


Nous voyons que nous passons par beaucoup de machines avant d'atteindre le Site du Zéro. Chacune de ces machines étant sur 
un réseau différent, nous passons par de nombreux réseaux. Plus exactement, nous sommes passés par 9 réseaux pour rejoindre 
le Site du Zéro. 





©) Mais au fait, on en parle depuis longtemps, mais c'est quoi un réseau ? 


Pour comprendre ce qu'est un réseau, nous allons commencer par aborder une notion hyperimportante de la couche 3. Car 
comme pour la couche 2, après avoir parlé du rôle de la couche 3 (interconnecter les réseaux), nous allons parler de son 
adresse. 

Il y a bien une adresse aussi en couche 3, mais elle est nettement plus complexe à aborder... 


Un identifiant, l'adresse IP 
Quelques questions préliminaires 


Nous savons dialoguer sur notre réseau grâce à la couche 2, 1l nous reste maintenant à en sortir pour aller voir ce quise passe 
dehors, sur Internet. 

Mais nous avons plusieurs problèmes. 

Nous ne connaissons pour l'nstant qu'une adresse, l'adresse MAC, qui sert sur notre réseau local. 


? Vnt-ils avoir une adresse ? Ou un nom ? S'il faut une adresse pour le réseau et une pour ma machine, nous faudra-t-il 


© Comment allons-nous pouvoir être identifiés par rapport à un autre réseau ? Comment allons-nous identifier les réseaux 
deux adresses de couche 3 ? 





Nous allons répondre à ces questions dès mamtenant. La réponse à toutes nos questions est dans l'adresse de couche 3 : 
l'adresse IP. 


Deux adresses pour le prix d'une ! 


On commence à avoir plusieurs questions en suspens. C'est en prenant connaissance de l'adresse IP que nous allons y 
répondre. 


Une adresse multifonction 


L'adresse IP est en fait l'adresse du réseau ET de la machine. 
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Plus exactement, une partie de l'adresse représentera l'adresse du réseau, et l'autre partie l'adresse de la machine. 





©) Mais d'abord, comment elle s'écrit cette adresse ? 


Une adresse IP est codée sur 32 bits (soit 4 octets, car vous vous rappelez bien qu'un octet vaut 8 bits). 


Afin de simplifier la lecture et l'écriture d'adresses IP pour les humains, nous avons choisi d'écrire les adresses avec la notation 
en décimal pointée. Cette dernière sépare les 4 octets sous forme de 4 chiffres décimaux allant de 0 à 255. 
Cela donne par exemple : 192.168.0.1 


On en déduit au passage que la plus petite adresse IP est: 0.0.0.0 (quand tous les bits de l'adresse sont à 0) alors que la 
plus grande vaut : 255.255.255.255 (quand tous les bits sont à 1). 





À 


Mais attention : au niveau des ordmateurs et des différents matériels réseau manipulant les adresses IP, ces dernières sont 
manipulées en binaire (base 2). 
Pour plus d'nformation sur les différentes bases nunérales, vous pouvez visiter les tutoriels associés : 


e Du décimal au binaire 
e Les calculs en binaire 


Je vous conseille vivement leur lecture, car nous allons beaucoup manipuler les adresses en binaire par la suite. 
OK, nous avons vu qu'une partie de cette adresse représentait l'adresse du réseau, et l'autre celle de la machine. 


© Mais comment je sais moi quelle partie représente quoi ? 





Le masque de sous-réseau 


Nous allons en fait ajouter une information supplémentaire à l'adresse IP, le masque de sous-réseau. 
Et ces deux mformations, adresse IP et masque, seront inséparables. 





© C'est le masque qui va indiquer quelle est la partie réseau de l'adresse, et quelle est la partie machine. 


Définition : Les bits à 1 dans le mas que représentent la partie réseau de l'adresse IP. 
On en déduit que les bits à 0 représentent la partie machine de l'adresse. 


Prenons un exemple : on associe l'adresse IP 192.168.0.1 au masque 255.255.0.0. 
Ecrivons maintenant ces deux adresses en binaire pour y voir plus clair : 
Citation 


255.255.0.0 -> 11111111.11111111.00000000.00000000 
192.168.0.1 -> 11000000.10101000.00000000.00000001 


Le masque nous dit que les bits à 1 représentent la partie réseau de l'adresse : 
Citation 


255.255.0.0 -> 11111111.11111111.00000000.00000000 
192.168.0.1 -> 11000000.10101000.00000000.00000001 


I nous dit aussi que les bits à 0 représentent la partie machine de l'adresse : 
Citation 
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255.255.0.0 -> 11111111.11111111.00000000.00000000 
192.168.0.1 -> 11000000.10101000.00000000.00000001 


Donc la partie réseau de l'adresse est 192.168, et la partie machine est 0.1. Super, on maîtrise les masques ! ) 


Enfin, presque ! L'exercice que nous venons de faire était très facile, car la coupure entre les deux parties de l'adresse se faisait 
entre deux octets. Or, il arrive très souvent que la coupure se fasse en plein milieu d'un octet, et là, ça se corse... 





Par exemple, si nous reprenons l'exemple précédent en utilisant le masque 255.255.240.0, qu'est-ce que cela donne au 
niveau de l'adresse ? 


Nous allons voir cela, en nous penchant un peu plus sur les masques et leur utilisation. 


Le masque de sous-réseau et les difficultés associées. 
Il se trouve que les calculs associés aux masques de sous réseau, c'est une plaie... C'est difficile, car les ordinateurs raisonnent 
en binaire, alors que nous, pauvres humains, nous travaillons en décimal. Or, passer du décimal au binaire n'est pas toujours 
facile. Prenons donc un exemple. 


Calcul de la partie réseau et de la partie machine d'une adresse 


On peut reprendre l'exemple précédent, l'adresse 192.168.0.1 associée au masque 255.255.240.0. 
Comme on peut s'en douter, la coupure entre les deux parties de l'adresse ne va malheureusement pas se faire entre deux octets 
distincts, mais bien en plem milieu d'un octet. 


Trans formons ces deuxnombres en binaire : 
Citation 


192.168.0.1 -> 11000000.10101000.00000000.00000001 
255.255.240.0 -> 11111111.11111111.11110000.00000000 


Comme prévu, la coupure imposée par le masque se fait en plein milieu d'un octet ! 
Citation 


255.255.240.0 -> 11111111.11111111.11110000.00000000 


Ce qui donne sur notre adresse pour les parties réseau et machine : 
Citation 


192.168.0.1 -> 11000000.10101000.00000000.00000001 


Gloups...! On ne peut pas repasser en décimal étant donné que la coupure se fait au milieu d'un octet. En effet, on ne peut 
malheureusement pas écrire un demi-octet ou une partie d'un octet seulement. On ne peut parler qu'en binaire. 





{\ La partie réseau de l'adresse est 11000000.10101000.0000 et la partie machine est 0000.00000001. 


Par conséquent, à chaque fois que la coupure aura lieu au milieu d'un octet, il ne sera pas possible d'écrire les parties réseau et 
machine de l'adresse autrement qu'en binaire. 


© Mais comment le savoir ? 


Nous allons voir que les valeurs prises par les octets dans un masque sont spécifiques et cela est dû à l'ordonnancement des 1 
et des 0 dans le masque. 
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La contiguité des bits 


Dans un masque en binaire, 1l doit y avoir les 1 à gauche et les 0 à droite. 
On ne peut pas mélanger les 1 et les 0. 


Par exemple, ce masque est correct: 11111111.1111100000000000.00000000,. 
Mais celui-ci est incorrect: 11111111.11100011.00000000.00000000. 


Ainsi, on retrouvera toujours les mêmes valeurs pour les octets d'un masque, qui sont les suivantes : 
00000000 -> 0 

10000000 -> 128 

11000000 -> 192 

11100000 -> 224 

11110000 -> 240 

11111000 -> 248 

11111100 -> 252 

11111110 -> 254 

11111111 -> 255 


Donc ce masque est correct: 255.255.128.0. 

Et ce masque est incorrect: 255.255.173.0. 

Et ce masque est encore incorrect: 255.128.255.0 (car il mélange des 0 et des 1). 

Bien ! Nous savons ce qu'est un masque, comment il est composé et quelles sont les valeurs que chacun de ses octets peut 


prendre. 
I nous faut maintenant le mettre en pratique pour trouver les plages d'adresses associées à tel ou tel masque. 


| . Une plage d'adresse est l'ensemble des adresses définies par l'association d'une adresse et d'un masque, de la plus 
petite adresse à la plus grande. 


Calcul de plages d'adresses 


C'est le gros morceau ! C'est ici que cela se complique. Mais rassurez-vous, nous allons aller pas à pas pour que tout le monde 
comprenne bien. 


Calcul de la première et de la dernière adresse d'une plage 


Nous allons donc prendre un exemple d'adresse associée à un masque et nous allons essayer de trouver la plage d'adresses ainsi 
définie. 
Reprenons notre exemple, maintenant connu, à savoir l'adresse 192.168.0.1 associée au masque 255.255.240.0,. 


tre mission, s1 vous l'acceptez, est de trouver la première et la dernière adresse du réseau auquel appartient cette adresse. 


© Et je fais ça comment, moi ? 


Dans un premier temps, nous savons qu'il va falloir transformer ces adresses en binaire pour y voir plus claïr, car la coupure a 
leu en plem milieu du troisième octet. 





Nous avons le masque et l'adresse : 
255.255.240.0 -> 11111111.11111111.11110000.00000000 
192.168.0.1 -> 11000000.10101000.00000000.00000001 


Néanmoins, cela ne nous donne pas encore la première et la dernière adresse. Par contre, nous savons que les bits en vert dans 
l'adresse représentent la partie réseau, et les bits en rouge la partie machine. 

De plus, toutes les machines appartenant à un même réseau ont un point commun : tous les bits de leur partie réseau sont 
identiques ! 
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Eh oui ! Si jamais deux machines ont des adresses dont la partie réseau est différente, elles ne sont pas dans le même réseau. 
En même temps, ça paraît normal... 

Donc pour notre calcul, on en déduit que toutes les machines appartenant à notre réseau vont avoir leur partie réseau égale à 
11000000.10101000.0000. 


Par contre, les bits de la partie machine de l'adresse vont pouvoir varier pour toutes les machines du réseau. 


Dans ce réseau, les adresses des machines pourront prendre beaucoup de valeurs, selon que l'on met certains bits de la partie 
machine à 0 ou I. 
Globalement, les adresses seront : 


11000000.10101000.00000000.00000000 -> 192.168.0.0 
11000000.10101000.00000000.00000001 -> 192.168.0.1 
11000000. 10101000.00000000.00000010 -> 192.168.0.2 
11000000.10101000.00000000.00000011 -> 192.168.0.3 
11000000.10101000.00000000.00000100 -> 192.168.0.4 
11000000.10101000.00000000.00000101 -> 192.168.0.5 


11000000.10101000.00001111.11111110 -> 192.168.15.254 
11000000.10101000.00001111.11111111 -> 192.168.15.255 


En faisant varier les bits de la partie machine de l'adresse, nous avons pu trouver toutes les adresses du réseau. 


| La première adresse du réseau est celle dont tous les bits de la partie machme sont à 0 ; la dernière adresse du réseau 
est celle dont tous les bits de la partie machine sont à 1. 





Nous savons donc mamtenant calculer une plage d'adresses à partir d'une adresse et de son masque ! 


©) Tenez, en passant, pouvez-vous me dire combien 1l y a d'adresses possibles dans le réseau que nous venons d'étudier ? 





Nombre d'adresses dans un réseau 


Nous avons vu que dans notre adresse, la partie réseau était fixée et la partie machine pouvait varier IInous suffit de trouver 
combien de combinaisons sont possibles en faisant varier les bits de la partie machine, et nous aurons alors le nombre 
d'adresses. 


S1 jamais nous n'avions qu'un seul bit pour la partie machine, nous aurions deux possibilités sur ce bit, 0 ou 1. Sinous en avions 


deux, il y aurait 22 adresses possibles, soit 4 adresses (00, 01, 10, 11) et ainsi de suite. 


210 


Sinous avions 10 bits pour la partie machine, nous aurions adresses possibles, soit 1024 adresses. 


© Donc pour trouver le nombre d'adresses dans un réseau, il suffit de connaître le nombre de bits de la partie machine. 





Or, vu que la partie machme est définie par le masque, le nombre de machines disponibles dans un réseau est directement 
dépendant du masque ! 


La relation est même encore plus explicite : nombre de machines dans un réseau = 2Nombre de 0 dans le masque 


Sinous reprenons notre exemple précédent de l'adresse 192.168.0.1 associée au masque 255.255.240.0, nous pouvons maintenant 
immédiatement trouver le nombre d'adresses disponibles dans ce réseau. Le masque s'écrit : 
255.255.240.0 -> 11111111.11111111.11110000.00000000 


Dans lequel nous voyons douze 0 qui identifient la partie machine de l'adresse. 


Nombre d'adresses = 2Nombre de 0 dans le masque _ 512 4096 adresses ! 


Facile, non ? 


Adresse de réseau, adresse de broadcast 


Www.openclassrooms.com 


Partie 2 : Communiquer entre réseaux /0/220 





Parmi la plage d'adresses définie par une adresse IP et un masque, deux adresses sont particulières, la première et la dernière. 


La première adresse d'une plage est l'adresse du réseau lui-même. 
Cette adresse ne pourra donc pas être utilisée pour une machine. 


La dernière adresse d'une plage est une adresse spéciale, l'adresse de broadcast. 

Cette adresse ne peut pas non plus être utilisée pour une machine. Elle est en fait utilisée pour identifier toutes les machines de 
mon réseau. 

Quand nous envoyons un message à l'adresse de broadcast, ce message va être reçu par toutes les machines de notre réseau. 


Nous remarquons par la même occasion que dans un réseau ayant 16 adresses disponibles, seules 14 adresses seront utilisables 
par les machines du réseau, car la première et la dernière seront réservées pour le réseau et le broadcast. Et cela est vrai pour tout 


réseau. Pour chaque réseau, il y a deux adresses non utilisables pour les machines. 


Nous savons donc mamtenant, à partir d'une adresse et du masque associé : 


e déterminer la première et la dernière adresse de la plage ; 
e connaître le nombre d'adresses de cette plage. 


Retour sur nos questions 


En début de chapitre nous avions beaucoup d'nterrogations, regardons si nous avons su y répondre. 







©) Comment allons-nous pouvoir être identifiés par rapport à un autre réseau ? 


Ça, c'est bon. C'est la partie réseau de l'adresse IP qui va dire dans quel réseau nous nous situons. 


© Et d'ailleurs, comment allons-nous identifier les réseaux ? Wnt-ils avoir une adresse ? Ou un nom ? 


Nous savons identifier un réseau par la partie réseau d'une adresse IP ! 


© S'il faut une adresse pour le réseau et une pour ma machine, nous faudra-t-il deux adresses de couche 3 ? 


Nous avons vu qu'en fait nous n'avons pas deux adresses, mais une seule. 
Par contre, cette adresse est toujours associée à un masque qui va pouvoir définir la partie réseau et la partie machine de 
l'adresse. 


Vus avez bien bossé et savez donc répondre à ces questions quinous embêtaient. 
Il serait temps de passer à un peu de pratique, histoire de bien fixer les idées ! 


Le masque mis en pratique 


Nous venons de voir beaucoup de notions, et pas si simples que cela ! 
Etant donné que ces notions sont fon-da-men-tales pour la suite du cours, nous allons faire quelques exercices pour bien fixer 
les idées et nous entraîner. 


Faites ces exercices, même s1 vous êtes déjà des champions et que vous avez tout compris, car certains exemples sont un peu 
piégeux et peuvent sembler étonnants. 


Adresse de réseau, de machine ou de broadcast ? 


Le principe de l'exercice est simple. 
Je vais vous donner un couple adresse/masque, et vous devrez me dire s1 l'adresse est une adresse de réseau, de machine ou de 
broadcast. 


Premier exemple 
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Je vous donne donc le couple : 
192.168.0.15/255.255.255.240 


Comment allons-nous procéder ? 
Comme auparavant, nous allons calculer la première et la dernière adresse du réseau ainsi défini. Ensuite, nous regarderons 
simplement s1 l'adresse donnée est l'une des deux ou pas. 


192.168.0.15 -> 11000000.10101000.00000000.00001111 
255.255.255.240 -> T1111111.11111111.11111111.11110000 


Je fixe la partie réseau dans l'adresse : 
11000000.10101000.00000000.00001111 


Et je fais varier les bits de la partie machine en mettant tout à 0, puis tout à 1. 
11000000.10101000.00000000.00000000 -> 192.168.0.0 
11000000.10101000.00000000.00001111 -> 192.168.0.15 


Nous avons donc trouvé 192.168.0.0 comme adresse de réseau et 192.168.0.15 comme adresse de broadcast. L'adresse donnée 
dans l'exercice, 192.168.0.15, est donc l'adresse de broadcast ! 


© Aurait-on pu faire plus vite ? 


La réponse est oui. En effet, quand nous avons fait notre calcul, vous avez pu observer que tous les bits de la partie machine de 
notre adresse étaient à 1 : 

192.168.0.15 -> 11000000.10101000.00000000.00001111 

Nous pouvions donc déjà deviner que cette adresse allait être l'adresse de broadcast. De même que sinous avions vu tous les 
bits de la partie machine à 0, nous aurions su que nous étions en présence de l'adresse du réseau. 





Des exemples plus complexes 


Alors allons-y ! 
ici les données, à vous de faire l'exercice et de voir par la suite s1 vous avez la bonne réponse ! 


Citation 


192.168.0.15/255.255.255.0 
192.168.1.0/255.255.255.0 
192.168.1.0/255.255.254.0 
10.8.65.29/255.255.255.224 
10.8.65.31/255.255.255.224 
10.0.0.255/255.255.254.0 


Et voici les solutions (à ne pas regarder avant d'avoir fait l'exercice !) 


192.168.0.15/255.255.255.0 
Réseau allant de 192.168.0.0 à 192.168.0.255 -> Adresse de machine ! 


192.168.1.0/255.255.255.0 
Réseau allant de 192.168.1.0 à 192.168.1.255 -> Adresse de réseau ! 


192.168.1.0/255.255.254.0 
Réseau allant de 192.168.0.0 à 192.168.1.255 -> Adresse de machine ! 


10.8.65.29/255.255.255.224 
Réseau allant de 10.8.65.0 à 10.8.65.31 -> Adresse de machine ! 


10.8.65.31/255.255.255.224 
Réseau allant de 10.8.65.0 à 10.8.65.31 -> Adresse de broadcast ! 


10.0.0.255/255.255.254.0 
Réseau allant de 10.0.0.0 à 10.0.1.255 -> Adresse de machine ! 
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Trucs et astuces ! 


Après ces exercices, vous avez peut-être remarqué des informations imtéressantes. 


e Une adresse qui finit en 255 n'est pas obligatoirement une adresse de broadcast. 
e Une adresse qui finit en 0 n'est pas obligatoirement une adresse de réseau. 


Par ailleurs, nous avons aussi vu un point commun entre toutes les adresses de broadcast : elles sont impaires ! 
Ceci est normal. Vu qu'elles n'ont que des 1 dans la partie machine de l'adresse, elles fnissent obligatoirement par 1 et sont 
impaires. De même, les adresses de réseau seront toujours paires ! 





© Une adresse de broadcast est toujours impaire ; une adresse de réseau est toujours paire. 


Cela pourra vous éviter de faire des erreurs dans vos calculs s1 vous trouvez des adresses de réseau impaires ou des adresses de 
broadcast paires. 


Des adresses particulières 
Les RFC 


Nous venons de voir les adresses et les masques et nous avons découvert que nous formons des réseaux en les associant. 


Cependant, toutes les adresses n'ont pas la même signification, notamment, certames adresses ont été réservées pour ne pas 
pouvoir être utilisées sur Internet. Ces adresses sont définies dans la RFC 1918. 


| à) Une REC est un document qui propose et présente une technologie que l'on souhaite voir utiliser sur Internet. 





Par exemple, s1 je veux créer un nouveau protocole qui va révolutionner Internet, Je vais le présenter dans une RFC qui pourra 
être lue, puis soumise à proposition, et enfin acceptée comme standard d'Internet. 


Ainsi, depuis la nuit des temps, les REC précisent le fonctionnement détaillé d'à peu près tout ce quise trouve sur Internet. 


Par exemple, il y a une RFC qui présente le protocole IP, la RFC 791. 
Il y a même une RFC qui décrit l'envoi de messages par pigeons voyageurs... s1s1, la RFC 1149 qui était en fait à l'époque un 


poisson d'avril qui a déjà été repris deux fois dont le 1% avril 2011 avec l'adaptation à IPv6 ! 


€) Un REC ou une REC ? 


Globalement, je n'en sais rien. Vu qu'il n'y a pas de genre en anglais et que la/le RFC n'est pas encore dans le petit Larousse, 
chacun fait comme bon lui semble. Je la mets au féminin car RFC veut dire Request For Comment et que requête est féminin en 
français. 





Mais revenons à notre RFC 1918. 


La REC 1918 


Cette REC précise des plages d'adresses, soit des réseaux, qui ont une utilité particulière. 
En effet, ces plages d'adresses sont réservées pour une utilisation privée. Cela veut dire que s1 vous faites un réseau chez vous, 
ou dans une entreprise, il vous faudra obligatoirement utiliser ces adresses. 





©) Je ne peux pas choisir librement les adresses que je veuxutiliser chez moi ? 
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Non. Et il y a une raison à cela : imagmons que j'installe mon réseau chez moi et que je n'ai pas connaissance de la RFC 1918. 
Je choisis donc un réseau au hasard, par exemple le réseau 92.243.25.0/255.255.255.0,. 

Mais malheureusement, cette plage réseau appartient à quelqu'un sur Internet. On pourrait penser que ce n'est pas grave, car 
de toute façon, mon réseau est privé et ne dérangera personne sur Internet. En fait, je vais avoir des problèmes. 


Par exemple, j'essaye d'aller sur mon site préféré, le Site du Zéro. Et badaboum, cela ne marche pas ! 
En effet, l'adresse du Site du Zéro est 92.243.25.239, qui est une adresse qui appartient à la plage réseau que j'ai choisie. 
Ainsi, quand ma machine essaye de jomdre cette adresse, elle pense que la machine se situe sur son propre réseau, d'après son 


adresse, et donc elle n'arrive pas à la jomdre. Je ne pourrai donc jamais aller sur le Site du Zéro. 


© Comment bien choisir son adresse alors ? 


C'est simple, 1l suffit de choisir sa plage d'adresses dans les plages réservées à cet effet dans la RFC 1918. 
Les plages définies sont : 





e 10.0.0.0/255.0.0.0 
e 172.16.0.0/255.240.0.0 
e 192.168.0.0/255.255.0.0 


Par exemple, je peux tout à fait choisir la plage 10.0.0.0/255.255.255.0 ou 192.168.0.0/255.255.255.0. 
Vu que ces adresses n'appartiennent à personne sur Internet, je serai sûr de pouvoir joindre n'importe quel site sur Internet. 
C'est auss1 pour cela que, très souvent, les adresses qui sont données par les opérateurs sont dans ces plages. 


Bon, vous commencez mamtenant à être bien à l'aise avec l'utiisation des masques et des adresses IP. Nous allons pouvoir 
attaquer la partie ardue des masques : le découpage de plages d'adresses. 


e vous savez maintenant ce qu'est une adresse IP et le masque qui lui est associé ; 
e vous savez aussi ce qu'un réseau est défini par une adresse et un masque ; 
e vous commencez à savoir utiliser le masque pour faire des calculs sur l'adresse IP. 


Nous allons maintenant mettre en pratique ce que nous venons d'apprendre pour découper une plage d'adresses. 
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Découpage d'une plage d'adresses 


Ce chapitre va vous demander beaucoup d'attention et de réflexion. Il va y avoir pas mal de calculs et de notions à maîtriser. 
Ne les négligez pas, car la compréhension des notions abordées sera nécessaire pour la suite du cours ! 


Les découpages que nous allons aborder font partie mtégrante du métier d'administrateur réseau. Il faut parfaitement maîtriser le 
découpage et être à l'aise pour savoir rapidement identifier un réseau de manière correcte. 


Attention, c'est parti ! Cà 


Découpage avec la méthode de base 
Dans ce chapitre, nous allons nous démener pour arriver à découper proprement des plages d'adresses IP. 








©) Mais ça veut dire quoi exactement découper une plage d'adresses IP ? 


Imaginez que vous admnistrez le réseau d'une école en informatique, genre IN'TECH INFO ! s) 





Il y a dans l'école des élèves qui apprennent tous les jours comment marche un réseau, et comment exploiter ses failles. 
Vus avez configuré les machines du réseau pour qu'elles appartiennent à un même grand réseau 10.0.0.0/255.255.0.0. 


Seulement, sur ce réseau, il y a à la fois les élèves, les profs, et l'administration. Vus vous rendez vite compte que des petits 
malins ont réussi à changer leur note au dernier examen en accédant à la machine de leur prof préféré. 


Que faire ? 


Eh bien nous allons découper la grande plage d'adresses qui nous a été fournie en plusieurs sous-réseaux plus petits. Nous 
pourrons alors mettre les élèves dans un sous-réseau, et les profs dans un autre. Et même l'administration dans un autre réseau 
pour que les profs n'aillent pas modifier leur fiche de paye. 

Ceci est très souvent utilisé en réseaux. On a une grande plage qu'on découpe en plusieurs petites plages pour séparer les 
différentes populations. 


Une écriture pour les fainéants 


En réseau, on est très faméants. du moins Je le suis ! Il y a donc des gens qui ont pensé à nous en mettant en place une écriture 
plus rapide pour les masques. Il s'agit de l'écriture CIDR. 


Nous reviendrons plus tard sur ce qu'est exactement le CIDR, mais pour l'instant nous allons utihser l'écriture des masques CIDR. 
Un masque s'écrit sur 32 bits. Sur ces 32 bits, nous en avons un certam nombre à 1 et le reste à 0. 


Vu que les 1 et les One sont pas mélangés (grâce à la contiguïté des bits), il suffit de connaître le nombre de 1 dans un masque 
pour le connaître complètement. 


On pourra donc simplement écrire le nombre de 1 dans un masque pour le connaître. 
On pourra ainsi écrire le masque 255.255.255.0 de la façon suivante /24, qui mdique qu'il y a 24 bits à 1 dans le masque. 


Au lieu d'écrire 192.168.0.1/255.255.255.0, on pourra écrire 192.168.0.1/24. 


C'est plus rapide, non ? Peut-être que ce n'est pas révolutionnaire, mais quand on doit écrire beaucoup de masques, ça va 
beaucoup plus vite !| 


Désormais, on pourra donc écrire /20 au lieu de 255.255.240.0. D'ailleurs, j'utiis erai l'une ou l'autre de ces notations dans la suite 
du cours. 

C'est moins facile pour nos calculs, et nous devrons souvent repasser en décimal pointé pour bien comprendre ce quise passe, 
mais c'est tellement plus rapide à écrire ! 


Un premier découpage 


Prenons une entreprise possédant la plage 10.0.0.0/16. Nous allons essayer de découper cette plage. 
L'entreprise compte 1000 techniciens, 200 commerciaux et 20 directeurs. Il va donc falloir définir trois petites plages au sein de 
notre grande plage d'origine. 
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©) Mais comment fait-on cela ? 


Verification du nombre d'adresses 





Dans un premier temps, nous allons regarder s1 notre plage de départ contient assez d'adresses pour nos 1220 employés (1000 + 
200 + 20). 

Le masque contient 16 bits à 1, donc 16 bits à 0 (puisqu'il contient au total 32 bits). 

Or, nous connaissons une formule qui nous permet de connaître le nombre d'adresses dans un réseau en fonction du nombre de 
bits à 0 dans le masque. 


Rappel : Nombre d'adresses dans un réseau = 2N0mbre de 0 dans le masque 


Nous allons donc avoir dans ce réseau 216 adresses, soit 65 536 adresses dans notre plage ! On en a largement plus que les 1220 
nécessaires. 
On devrait donc pouvoir résoudre l'exercice. 


Calcul des masques 


Pour la suite de l'exercice, nous savons combien nous voulons d'adresses dans les petites plages à découper, et nous avons la 
formule précédente quinous donne la relation entre le nombre d'adresses et le nombre de 0 dans le masque. Nous devrions donc 
pouvoir déduire le nombre de 0 nécessaires dans chacun des masques, et donc les masques eux-mêmes. 


Par exemple pour les techniciens qui sont 1000, il me faudra un réseau avec au moins 1000 adresses. 


D'après la formule : Nombre d'adresses dans un réseau — 2Nombre de 0 dans le masque 


0 nécessaires dans le masque. 


, nous devrions pouvoir déduire le nombre de 


Nous avons 1000 <210. Donc sinous mettons 10 bits à 0 dans le masque, nous devrions pouvoir identifier 1000 machines (nous 
pourrons même avoir 1024 adresses !) Sion a 10 bits à 0 dans le masque, on obtient le masque suivant : 


Citation 
11111111.11111111.11111100.00000000 soit 255.255.252.0 ou /22 


Pour le réseau de nos techniciens, nous pouvons choisir le masque 255.255.252.0 pour pouvoir avoir 1024 adresses dans le 
réseau et donc avoir assez d'adresses pour les 1000 techniciens. 


Nous pouvons faire le même calcul pour les 200 commerciaux : 
200 < 2 : le masque pour les commerciaux sera donc 255.255.255.0,. 


Et enfin pour les 20 directeurs : 
20 < 2 ; le mas que pour les directeurs sera donc 255.255.255.224, 





©) Mais maintenant, que faire avec ces masques seuls ? 


Il va nous falloir trouver les plages d'adresses associées, et pour cela nous avons beaucoup de choix parmi la grande plage que 
l'on nous a fournie. 


Choix des plages d'adresses 


Nous avons donc la grande plage 10.0.0.0/16 de 65536 adresses à notre disposition, et nous souhaitons trouver une plage de 
1024 adresses pour nos techniciens parmi ces 65536 adresses. 
Le chorx le plus simple qui s'offre à nous est de commencer à l'adresse la plus basse, même s1 ce n'est pas le seul. 


Donc nous choisissons de commencer notre plage d'adresses pour les techniciens à l'adresse 10.0.0.0. 
Nous pouvons d'ores et déjà identifier le réseau des techniciens par le couple 10.0.0.0/255.255.252.0. Mais 1l serait bien aussi de 
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connaître la dernière adresse de cette plage, car la donnée du couple adresse/masque ne nous donne pas une indication très 
précise. 


Commençons nos calculs habituels. en essayant un peu de nous améliorer. 
D'habitude, on transforme complètement l'adresse et le masque en binaire. Mais y réfléchissant un peu, on se rend compte que 
seul un des 4 octets du masque nous mtéresse, celui où se passe la coupure entre les 1 et les 0. Ici c'est le troisième, 252. 


Donc au lieu de calculer en binaire toute l'adresse, nous n'allons travailler que sur le troisième octet (faméants que nous sommes 
©) 

Masque : 252 -> 11111100 

Adresse: 0 -> 00000000 


Ainsi, d'après le masque, toutes les adresses des machines de mon réseau commenceront par 000000 sur le troisième octet. 
La dernière adresse sera donc celle où tous les bits de la partie machine sont à 1, soit 00000011 sur le troisième octet (3 en 
décimal), et 11111111 sur le quatrième octet qu'il ne faut pas oublier ! (255 en décimal) 

La dernière adresse de la plage des techniciens est donc 10.0.3.255. 


Nous avons donc choisiune plage d'adresses adéquate pour les techniciens parmi notre grande plage de départ. 
I nous faut maintenant en choisir une pour les 200 commerciaux. 


Cependant, nous avons une contrainte supplémentaire sur le choix de notre plage d'adresses, c'est que les techniciens occupent 
déjà un certain nombre d'adresses de notre plage, de 10.0.0.0 à 10.0.3.255. 

Nous pouvons par exemple choisir de démarrer la plage d'adresses des commerciaux juste après celle des techniciens, en 10.0.4.0. 
Nous pouvons d'ores et déjà identifier le réseau des commerciaux par le couple 10.0.4.0/255.255.255.0. Comme pour les 
techniciens, 1l serait bien aussi de connaître la dernière adresse de cette plage. Ici, vu que la coupure se fait parfaitement entre 
deux octets, le calcul est facile ! 

La dernière adresse sera 10.0.4.255. 


Nous pouvons faire le même raisonnement pour les directeurs en commençant à 10.0.5.0. 
En associant le masque à cette adresse, nous trouvons comme dernière adresse 10.0.5.31. 


Et voilà ! 


Nous avons bien découpé la grande plage d'adresses qui nous était donnée : 10.0.0.0/16 -> 10.0.0.0 à 10.0.255.255 en trois plages 
d'adresses plus petites : 


© _10.0.0.0/22 -> 10.0.0.0 à 10.0.3.255 pour les techniciens ; 
e 10.0.4.0/24 -> 10.0.4.0 à 10.0.4.255 pour les commerciaux ; 
® 10.0.5.0/27 -> 10.0.5.0 à 10.0.5.31 pour les directeurs. 


Les adresses pour chacune de ces trois populations sont bien distinctes, et parmi la plage de départ. Opération réussie ! {24 





La version compliquée du découpage 


Cette partie est plutôt réservée aux caïds du découpage de plages. 

S1 déjà, la partie précédente vous semble complexe, passez plutôt du temps à vous sentir à l'aise avec elle avant de passer à celle- 
c1, qu'il n'est pas nécessaire de connaître ou de maîtriser. 

Nous verrons à la fin de cette partie que tous les découpages (ou presque) pourront se résoudre avec la méthode précédente ou 
avec la méthode magique que nous verrons plus tard. 


©) En quoi consiste cette méthode plus compliquée ? On n'a vraiment rien d'autre à faire que de se compliquer la vie ? 


Pour comprendre certains détails, 1l faut parfois se donner un peu de mal. 


L'exercice va être exactement le même que le précédent. æ 


Sauf que cette fois-ci, vous allez devoir commencer par les directeurs, puis les commerciaux, et enfin les techniciens. 





On recommence donc. 
Pour les directeurs, on commence en 10.0.0.0. Ils sont toujours 20 donc le masque ne change pas, 255.255.255.224, La plage vase 
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finir en 10.0.0.31 (à vous de faire les calculs !). 
Maintenant, passons aux commerciaux. 


S1 on suit la même logique que précédemment, on commence la plage des commerciaux à l'adresse 10.0.0.32. On lui associe le 
masque des commerciaux 255.255.255.0. On calcule la dernière adresse de la plage 10.0.0.255 


X Mais nous venons de faire une énorme erreur ! 





Si vous essayez de calculer la première adresse du réseau des commerciaux, vous allez vous en rendre compte. Vu que la coupure 
est entre deux octets, c'est facile, la première adresse du réseau est 10.0.0.0 !?! 

La même que pour les directeurs. Cela veut dire qu'en respectant la même méthode que précédemment, nous avons créé deux 
plages, mais celles-ci se chevauchent. Et donc, cela ne marche pas. 


© Que s'est-il passé ? 


En fait, nous avons démarré la plage d'adresses des commerciaux sur une adresse quine pouvait pas être une adresse de réseau. 
Sinous écrivons le masque en binaire : 11111111.11111111.11111111.00000000, nous voyons que seuls les 8 derniers bits de 
l'adresse, soit le dernier octet, peuvent changer pour des machmes appartenant à un même réseau. 

Pour connaître la première adresse d'une plage, il faut mettre tous ces bits à 0, ce qui nous donne obligatoirement 0 comme 
valeur sur le dernier octet pour l'adresse de réseau. 

Or, nous avions choisi 10.0.0.32, qui ne peut donc pas marcher. Après notre calcul, nous avons vite vu que la première adresse de 
la page était 10.0.0.0 qui, elle, était correcte. 


© Bah oui, mais comment faire alors ? 


1. Vus êtes un caïd et vous vous sentez capable de toujours démarrer une plage sur une adresse autorisée. Dans ce cas, 
allez-y ! 

2. Vus n'êtes pas encore un caïd et ne souhaitez pas en devenir un. Dans ce cas, il y a une méthode très simple : faites 
toujours vos calculs en prenant en premier les plages les plus grandes, comme dans le premier exercice. 








Ça marche tout le temps en prenant les plages les plus grandes en premier (techniciens > commerciaux > directeurs) donc vous 
pourrez toujours vous en sortir. ou presque ! 





Il faut donc retenir que le masque, et donc le nombre d'adresses dans un réseau, impose de ne pas démarrer une plage 
d'adresses n'importe où. 


Pour les caïds, je vous donne quand même les calculs en partant des directeurs. 

La plage des directeurs est OK : 10.0.0.0/27. 

Pour les commerciaux, nous avons vu qu'il fallait commencer en 0, donc on prend la première adresse possible après 10.0.0.31 qui 
finit en 0, soit 10.0.1.0 ! Ce qui nous donne pour les commerciaux la plage 10.0.1.0/24 qui finit en 10.0.1.255 

De la même façon, nous ne pourrons pas commencer la plage des techniciens en 10.0.2.0, 1l faudra aller jusqu'en 10.0.4.0. La plage 
des techniciens est donc 10.0.4.0/22 qui finit en 10.0.7.255. 





© Et s1 on ne peut pas faire autrement, par exemple s1 la plage des directeurs est déjà existante, comment faire ? 


Les ehats cas difficiles 


Il y a certains cas pour lesquels nous ne pouvons pas trop faire autrement que de nous creuser les ménmges (ou faire appel à un 
zéro caïd !). 
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Par exemple, vous arrivez dans une entreprise en tant qu'administrateur systèmes et réseaux. L'entreprise utilise actuellement la 
plage d'adresses 192.168.47.0/24. Cependant, cette entreprise grandissant, les 256 adresses possibles de cette plage commencent 
à ne pas être suffisantes. L'administrateur en chef vous demande d'agrandir cette plage réseau pour doubler sa taille, et ainsi 
passer à 512 adresses. 


Le réflexe de base est de se dire qu'on peut ajouter la plage suivant 192.168.47.0/24, c'est-à-dire 192.168.48./24... mais ça ne marche 
pas ! 


Faisons nos calculs : pour doubler la taille du réseau, rien de plus simple, il suffit d'ajouter un 0 dans le masque. Ainsi, on passe 
de 29=256 à 2°=512 adresses. Le masque devient donc 255.255.254.0, autrement écrit /23. 


Mais attention, vu que nous venons de changer le masque, et si vous vous souvenez de la règle quelques lignes au-dessus : le 
mas que, et donc le nombre d'adresses dans un réseau, impose de ne pas démarrer une plage d'adresses n'importe où ! 


Nous n'allons donc pas pouvoir choisir n'importe quoi comme adresse de départ pour notre réseau. 
Sinous voulons garder les adresses actuelles qui commencent par 192.168.47.X, nous pouvons appliquer le nouveau masque à 
une de ces adresses pour avoir la première et la dernière adresse de la plage. 


Masque: 254 -> 11111110 
Adresse: 47-> 00101111 


En mettant la partie machine de l'adresse à 0, nous obtenons 00101110, ce qui correspond à 46. 
En mettant la partie machine de l'adresse à 1, nous obtenons 00101111, ce qui correspond à 47. 


Notre nouvelle plage d'adresses va donc aller de 192.168.46.0 à 192.168.47.255. 
La plage amsi définie est donc 192.168.46.0/23 


Si vous avez mal au crâne, c'est normal. 


Nous allons voir dans le chapitre suivant qu'il existe une méthode très simple et facile à utiliser qui évite tous ces calculs et 
permet de résoudre facilement les problèmes de découpage ! 


Découpage avec la méthode magique 
Qu'est-ce que la méthode magique ? 


La méthode magique est une méthode qui va nous permettre de calculer très facilement des plages d'adresses réseau, et bien 
plus encore ! 


Le nombre magique 


Pour utiliser la méthode magique, nous allons devoir utiliser le nombre magique... 


©) Qu'est-ce que le nombre magique ? 


Le nombre magique est simplement un calcul fait à partir de l'octet significatif du masque. Il est égal à 256 - octet significatif. 





Par exemple, s1 l'on choisit le masque 255.224.0.0, on voit vite que l'octet significatif (celui où la séparation a lieu) est 224. 
Notre nombre magique vaut donc 256 - 224 = 32. 


Que faire avec le nombre magique ? 


Il va nous permettre de calculer mstantanément la première et la dernière adresse de notre plage. Pour cela, 1l va falloir écrire tous 
les multiples du nombre magique (jusqu'à 256 bien sûr). 
Allons-y pour les multiples de 32 : 0, 32, 64, 96, 128, 160, 192, 224, 256. 


Et mamtenant, nous allons simplement appliquer les deuxrègles suivantes : 


La première adresse du réseau sera le multiple du nombre magique, inférieur ou égal à l'octet correspondant dans l'adresse. 
La dernière adresse du réseau sera le multiple suivant, moins I. 
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Un exemple sera plus parlant. On associe l'adresse 192.168.0.1 et le masque 255.224.0.0. 
Dans notre masque, l'octet significatif est le deuxième (255.224.0.0). 
Nous allons donc prendre le deuxième octet de notre adresse (192.168.0.1), soit 168. 


La première adresse du réseau sera donc le multiple du nombre magique, strictement inférieur à 168. 
En regardant la liste des multiples, on trouve très vite 160 ! 0, 32, 64, 96, 128, 160, 192, 224, 256. 


La dernière adresse du réseau sera le multiple suivant, moins I. 
Le multiple suivant est 192, auquel on enlève 1 pour trouver 191. 


La première adresse de la plage est donc 192.160.0.0 et la dernière 192.191.255.255. 
On a ajouté les 0 pour la première et les 255 pour la dernière, car tous les bits qui suivent sont à 0 ou à 1, selon qu'on veut la 
première ou la dernière. 





© La méthode magique nous a permis de calculer une plage d'adresses sans avoir à faire de calculs binaires ! 


C'est quand même beau... non ? 


Amélioration de la méthode magique. 


Eh bien oui, nous pouvons encore frapper plus fort ! 
L'idée n'est pas non plus révolutionnaire... 1l s'agit simplement de ne pas calculer tous les multiples du nombre magique, mais 
seulement ceux qui sont intéressants. 


Prenons un nouvel exemple : 10.45.185.24/255.255.248.0 
Le nombre magique vaut : 256 - 248 = 8 ; l'octet significatif du masque est le troisième, ce qui correspond à 185 dans l'adresse. 


Nous devons donc trouver le multiple de 8 strictement mférieur à 185... Pas la peine de commencer à 0 ! 
8 “ 10 — 80, on est en dessous de 185. 

8 * 20 — 160, on est en dessous, mais on se rapproche. 

Commençons donc à 160 : 

160, 168, 176, 184, 192... STOP ! On est au-dessus de 185. 


Le multiple strictement mférieur est 184, celui du dessus moins un vaut 191. Ce quinous donne pour la première adresse 
10.45.184.0, et pour la dernière 10.45.191.255. 


Facile, non ? 


Mais nous pouvons encore frapper plus fort ! En effet, trouver la première et la dernière adresse d'une plage est utile, mais 
découper une plage d'adresses en sous-réseaux l'est souvent encore plus. Et la méthode magique va s'avérer redoutable ! 


Un exemple concret de découpage 


Vus avez en charge le réseau d'une petite entité d'une entreprise. L'administrateur général vous laisse à disposition le réseau : 
192.168.160.0/255.255.224.0,. 


Vus avez dans votre entité trois catégories de personnel : 


e 550techniciens ; 
e 130 commerciaux ; 
e 10 directeurs. 


Il vous faut donc découper la plage d'origine en trois sous-réseaux pour chacune de ces populations. 


Étape 1: Calcul de la plage d'origine 
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Vus allez voir ici que la méthode magique est vraiment rapide par rapport à la méthode classique. 


Allons-y ! 


1. Le nombre magique vaut: 256 - 224 = 32. 

2. L'octet significatif de l'adresse vaut 160, qui est un multiple de 32 ! Ce sera donc la première adresse, la dernière étant 160 
+32-1—=191. 

3. La première adresse est 192.168.160.0 et la dernière est 192.168.191.255. 


Maintenant, nous allons devoir calculer les plages pour chacune des populations. 


Étape 2: Calcul des masques 


© Par quoi commencer ? 


La seule mformation que nous avons est le nombre de personnes de chaque population. Ça tombe bien, car nous savons que la 
taille d'une plage dépend de son masque. Donc s1 on connaît le nombre d'adresses nécessaires, nous pouvons en déduire le 
masque. 





La formule est : nb adresses = 21P de 0 dans le masque 


Pour les techniciens, qui sont 550, le réseau devra contenir 1024 adresses (la puissance de 2 supérieure) soit 20 
Le masque contiendra donc 10 bits à 0, soit : 11111111.11111111.11111100.00000000. 
Soit en décimal : 255.255.252.0. 


Nous pouvons faire pareil pour les commerciaux : 130 < pin 
Le masque est donc : 255.255.255.0. 


Et pour les directeurs, nous trouvons : 10 < 2. 
Le masque est donc : 255.255.255.240. 


Nous avons les masques pour nos trois populations, il ne nous reste plus qu'à y associer des adresses pour avoir nos plages. 


Étape 3: Calcul des plages 


C'est ic1 que la méthode magique va nous être utile, car elle permet facilement de trouver la première et la dernière adresse d'une 
plage. 


Nous allons commencer par les techniciens. Notre plage de départ démarre en 192.168.160.0. Eh bien nous allons commencer la 
plage des techniciens à cette adresse, et allons trouver l'adresse de fin grâce au masque. 


Calculons le nombre magique : 256 - 252 — 4, 

Le procham multiple de 4 après 160 est 164 - 1 = 163. 

La dernière adresse pour les techniciens est donc 192.168.163.255. 

Pour les commerciaux, nous allons donc démarrer à l'adresse juste après pour ne pas empiéter sur la plage des techniciens, soit 
192.168.164.0. 

Nous allons nous passer du nombre magique pour les commerciaux, car la coupure se fait parfaitement entre deux octets sur le 


masque. L'adresse de fin est donc facilement calculée à 192.168.164.255. 


Nous démarrons après pour les directeurs, à l'adresse 192.168.165.0. Le nombre magique vaut 256 - 240 = 16 
La dernière adresse est donc 192.168.165.15 ! 


Resultat 


Nous avons donc défini les trois plages : 
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e Tech: 192.168.160.0/255.255.252.0, soit les adresses allant de 192.168.160.0 à 192.168.163.255. 
e Comm: 192.168.164.0/255.255.255.0, soit les adresses allant de 192.168.164.0 à 192.168.164.255. 
e Durs: 192.168.165.0/255.255.255.240, soit les adresses allant de 192.168.165.0 à 192.168.165.15. 


#\ Nous remarquons que pour le réseau des directeurs, l'adresse 192.168.165.15 est une adresse de broadcast... 


Tout s'est bien passé, mais. Nous savons qu'il est très facile de placer les plages d'adresses en partant de la plus grande à la 
plus petite, alors que l'inverse est très très très complexe. Mais nous avons la méthode magique ! 


Quand ça se complique 


Imagmons que nous ayons 120 secrétaires qui débarquent sur notre réseau... YOUHOU !!! 
Calmons-nous, cela reste un exemple, dans la vraie vie vous ne verrez pas débarquer 120 secrétaires comme cela. {2 





Nous voulons leur créer une nouvelle plage, mais sans toucher aux réseaux existants. Si nous prenons la même méthode que 
précédemment, nous allons nous planter {à Wbyons pourquoi. 


Nous avions fin1 la plage des directeurs à l'adresse 192.168.165.15, nous allons donc démarrer celle des secrétaires à l'adresse 
suivante, soit 192.168.165.16. 


Le masque pour les secrétaires sera : 120 < 2! ; soit 255.255.255.128. 
Le nombre magique vaut 256 - 128 — 128. La plage des secrétaires va donc finir au prochain multiple de 128 moins 1, soit 127. 


Nous avons donc défini la plage des secrétaires allant de 192.168.165.16 à 192.168.165.127... 

Mais cela ne marche pas ! D'abord, car il n'y a pas assez d'adresses. De 16 à 127, nous n'avons que 112 adresses, pas assez pour 
nos 120 secrétaires. Ensuite, et c'est le plus grave, notre plage n'est pas celle que nous pensons... En effet, si nous reprenons la 
méthode magique à 0, cela nous donne le calcul suivant : 


le nombre magique est 128 ; les multiples de 128 sont 0, 128 et 256 ; notre plage va donc aller de 0 à 127, et non de 16 à 127 ! 


Nous empiétons donc sur les adresses des directeurs !! 


© Oui, mais comment faire ? 


Eh bien 1l suffit de prendre le multiple du nombre magique suivant ! 
Nous allons commencer notre plage non pas en 192.168.165.16, mais en 192.168.165.128, et donc finir en 192.168.165.255. 





Et là, nous avons bien défini un réseau d'au moins 120 adresses et qui n'empiète pas sur le réseau des directeurs ! 
Cependant, nous avons laissé un trou... Les adresses de 16 à 127 ne sont pas utilisées. C'est normal, et ce n'est pas grave de 
toute façon. Nous pourrons utiliser ces adresses pour des petits réseaux par la suite si nous le souhaitons. 





© Quand on place un réseau plus grand que le précédent dans une plage, il est nécessaire de sauter une certame plage 
d'adresses. 


Le principe est simple : vu que nous travaillons avec des réseaux dont la taille est un multiple de 2, un petit réseau pourra 
toujours démarrer sur un multiple d'un grand réseau. 


Par exemple, tout multiple de 16 est un multiple de 8 : 
0, 16, 32, 48... 
0, 8, 16, 24, 32, 40, 48 


On pourra donc toujours placer une petite plage d'adresses derrière une plage précédente plus grande. Et on pourra seulement 
parfois placer une grande plage derrière une petite, mais dans ce cas 1l faudra faire attention et bien utiliser la méthode magique. 


Il est temps de faire quelques exercices pour vous entraîner. 
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Exercices 
Ici encore, je vous conseille de ne pas négliger ces exercices. Faites-les avant de regarder les solutions. 
Premier exemple 


Découpez la plage suivante en trois sous-réseaux: 10.47.192.0/255.255.240.0, avec les populations suivantes : 


e 880 techniciens ; 
e 400 commerciaux ; 
e 60 directeurs. 


Attention, 1l y a une astuce à trouver pour la plage des directeurs ! 


D'abord, on calcule les masques pour chaque population: 
Techniciens : 880 <210 ce quinous donne le masque 255.255.252.0. 
Commerciaux : 400 < 2° ce quinous donne le masque 255.255.254.0. 
Directeurs : 60 < 26 ce qui nous donne le masque 255.255.255.192. 


AN Mais il y a un petit piège ! 


Sinous choisissons pour les directeurs le masque 255.255.255.192, le réseau pourra contenir au mieux 64 adresses, moins les 
adresses de broadcast et réseau, ce qui donne 62 adresses. C'est limite pour 60 directeurs, qui ont peut-être des imprimantes, 
plusieurs ordinateurs, etc. 

Il est donc judicieux ic1 de choisir un masque nous permettant d'avoir plus d'adresses. Nous pouvons prendre le masque 
possédant un bit de plus pour la partie réseau de l'adresse, soit 255.255.255.128, qui nous assurera un réseau de 128 adresses, 
soit 126 adresses disponibles. 





Cela nous donne donc : 

Techniciens : 880 < 2/0 ce quinous donne le masque 255.255.252.0. 
Commerciaux : 400 < 2? ce quinous donne le masque 255.255.254.0. 
Directeurs : 60 <2/ ce qui nous donne le masque 255.255.255.128. 


Ensuite on calcule la plage des techniciens : le nombre magique vaut 256 - 252 — 4. 
La première adresse est 10.47.192.0 (donnée par l'énoncé) et la dernière 10.47.195.255. 


Puis celle des commerciaux : le nombre magique vaut 256 - 254 =2. 
La première adresse est 10.47.196.0 (donnée par la fin de la plage des techniciens) et la dernière 10.47.197.255. 


Enfin, celle des directeurs : le nombre magique vaut 256 - 128 — 128. 
La première adresse est 10.47.198.0 (donnée par la fin de la plage des commerciaux) et la dernière 10.47.198.127. 


Second exemple... le même que le premier ! 


En fait l'énoncé est le même, mais l'on vous demande de commencer par les directeurs, puis les commerciaux, et enfin les 
techniciens. 


La bonne nouvelle, c'est que les masques restent les mêmes ! 
Techniciens : 255.255.252.0. 

Commerciaux : 255.255.254.0. 

Drrecteurs : 255.255.255.128. 


On passe donc à la plage des directeurs : le nombre magique vaut 128. 
La première adresse est 10.47.192.0 et donc la dernière va être 10.47.192.127. 


Nous serions tentés de continuer pour la plage des commerciaux à l'adresse suivante. mais l'on sait que l'on prendrait alors des 
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risques … 


Pour les commerciaux, le nombre magique vaut 2. Il faut donc que la première adresse démarre sur un nombre pair sur son 
troisième octet (l'octet significatif dans le masque). 

On ne peut pas démarrer en 192 puisque quelques adresses sont déjà prises par les directeurs. Il faut donc démarrer en 194. 
Ce quinous donne 10.47.194.0 pour la première adresse et 10.47.195.255 pour la dernière adresse. 


On contmue pour les techniciens : le nombre magique vaut 4. 
192 est un multiple de 4, mais 1l est déjà utilisé par les directeurs. On peut par contre prendre 196. 
Ce qui nous donne 10.47.196.0 pour la première adresse et 10.47.199.255 pour la dernière adresse. 


On récapitule : 

Directeurs : de 10.47.192.0 à 10.47.192.127. 
Commerciaux : de 10.47.194.0 à 10.47.195.255. 
Techniciens : de 10.47.196.0 à 10.47.199.255. 


Et ça marche ! 





2) Euh... oui mais là on finit plus loin que la première fois, on n'aurait pas gâché plus d'adresses ? 


Non, nous en avons gâché exactement le même nombre. Sauf qu'ici on le voit bien, car les adresses gâchées sont dans les 
"trous" que nous avons laissés entre chaque plage, alors que dans le premier cas 1l y a des adresses gâchées, mais elles se 
situent après nos trois plages. 

Le résultat est exactement le même ! 


A vous de jouer 


Bon, je dis de jouer, mais je sais que tout le monde ne prend pas son pied à calculer des masques de sous-réseaux... 

Mais globalement, vous pouvez vous entraîner en choisissant vous-mêmes vos plages d'adresses et les nombres de personnes 
dans chaque catégorie. 

Vus pouvezaussiaugmenter ou diminuer le nombre de catégories. 


Bref, 1l y a à faire et s1 jamais vous ne vous sentez pas à l'aise ou avez des questions, n'hésitez pas à les poster sur le forum dans 
la rubrique adéquate (discussions informatiques par exemple). 


e vous savez maintenant découper une plage d'adresses en différents sous-réseaux ; 
e et vous savez utiliser la méthode magique pour aller plus vite dans vos découpages. 


I nous faut maintenant attaquer une des parties du cours les plus importantes, le routage. 
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Le routage 


Dans ce chapitre, nous allons essayer de comprendre comment les mformations transitent d'un réseau à un autre. 
Nous verrons notamment : 


e comment sont organisées les données au niveau de la couche 3 ; 
e quel matériel est nécessaire pour communiquer d'un réseau à un autre ; 
e comment les machines dialoguent d'un réseau à un autre. 


Suite à ce chapitre la communication entre réseaux n'aura plus de secrets pour vous. 


Un protocole, IP 


Ainsi, nous savons maintenant dialoguer sur notre réseau local grâce à la couche 2. Nous savons aussi ce qu'est un réseau. 
ne nous reste plus qu'à comprendre comment communiquer entre réseaux. 


Pour cela, nous allons d'abord nous attarder sur le protocole de couche 3, IP. 
Le protocole IP 


© Pour rappel, un protocole est un langage. Il permet aux machines qui dialoguent ensemble de se comprendre. 





Pour la couche 3 du modèle OSI, c'est le protocole IP, ou /nternet Protocol. 


Comme pour la couche 2, nous allons devoir définir de quelles mformations nous allons avoir besoin, et dans quel ordre les 
placer. 


Déjà, nous pouvons nous douter que nous allons avoir l'adresse IP de l'émetteur ainsi que celle du récepteur. Néanmoins, il va y 
avoir beaucoup d'autres informations. 

Dans un premier temps, nous n'allons voir que celles qui nous mtéressent, et nous ajouterons petit à petit les autres éléments de 
l'en-tête IP. 


Nous avons donc : 


e adresse IP émetteur ; 
e adresse IP destinataire. 


Jusqu'ici rien d'étonnant, 1l est normal d'avoir les mformations identifiant les participants à la communication. 





. Toutefois, nous avons dit que l'adresse IP devait toujours être accompagnée du masque ; va-t-on avoir le masque aussi 
dans l'en-tête IP ? 


La question à laquelle 1l va falloir répondre est surtout : est-il nécessaire de connaître le masque d'une machine pour lui envoyer 
un message ? 
Pour y répondre, mettons-nous dans la peau d'une machine qui veut envoyer un message à une autre. 


Nous sommes la machine A qui a pour adresse 192.168.0.1/24 et nous souhaitons envoyer un message à une machine B 
d'adresse 192.168.1.1/24. 

Ce qui est important pour moi, en tant que machine À, c'est de savoir s1 la machine B est sur mon réseau. En effet, s1 elle est sur 
mon réseau, Je lui parlerai grâce à la couche 2. Si elle est sur un autre réseau, 1l faudra que je fasse appel à la couche 3. 





©) De quoi ai-je besoin pour savoir si la machine B est sur mon réseau ? 


Pour savoir s1la machine B est sur mon réseau, c'est facile ! 
Je regarde la plage d'adresses de mon réseau, et Je n'ai plus qu'à regarder si l'adresse de la machine B appartient à cette plage. 
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Dans notre cas, ma plage d'adresses va de 192.168.0.0 à 192.168.0.255. Elle ne contient donc pas l'adresse de la machine B 
(192.168.1.1). 
J'en déduis donc que B n'est pas sur mon réseau et qu'il va falloir utiliser la couche 3 pour communiquer avec elle. 


Nous remarquons au passage que nous n'avons pas eu besoin du masque de la machine B pour savoir s1 elle appartenait à notre 
réseau. 


© Il ne sera donc pas utile d'ndiquer le masque dans l'en-tête IP. L'adresse IP suffira. 





Donc pour l'instant, nous n'avons besoin que de l'adresse IP de l'émetteur et de celle du récepteur Nous les appellerons adresse 
IP source et adresse IP destination. 


Nous allons donc avoir, comme pour la trame de couche 2, un format de message défini par le protocole IP. 
Pour le protocole IP, le message s'appelle un datagramme ou un paquet. 


Le datagramme 


Comme pour la couche 2, le datagramme IP va être une suite de 0 et de 1 organisés. 


ici la forme qu'il va prendre : 





Adresse IP SRC (source) | Adresse IP DST (destination) 


Datagramme IP 


Nous voyons ici que le format général est proche de celui de la trame Ethernet, mais que les mformations contenues sont 
différentes et dans un ordre différent. 


Normalement, cet en-tête devrait vous choquer ! Non ? Si ? 
Eh bien oui, l'adresse IP de destination est en fin d'en-tête. Et pourtant, nous avions vu en couche 2 qu'il était important que 


l'adresse MAC de destination soit en début d'en-tête pour que la machme qui reçoit la trame sache immédiatement s1 celle-c1 lui 
est destinée. Pourquoi cela serait différent pour IP ? 


© Les gens qui ont fabriqué le protocole IP seraient-1ls tombés sur en-tête la tête ? 


Eh bien non, au contraire. Pour le comprendre, nous allons devoir aborder d'autres notions. 


L'encapsulation 


Pour commencer, nous allons devoir répondre à une question. 


©) Qu'est-ce qui circule sur le réseau ? 


Des trames ? Des datagrammes ? Les deux ? Pour répondre à cette question, nous allons devoir nous replonger dans le modèle 
OSI. 
Pour rappel, voici à la figure suivante le modèle OSI, en 7 couches. 
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Plus précisément, la figure suivante illustre l'envoi ou la réception d'une mformation. 
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Comme nous le voyons, un message est envoyé depuis la couche 7 du modèle OSI, et il traverse toutes les couches jusqu'à 
arriver à la couche 1 pour être envoyé sur le réseau. 
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© Mais que devient notre message d'origine, aimsi que les en-têtes de chaque couche ? 





En fait, un en-tête va être ajouté à chaque passage par une couche. On va amsiaccumuler les en-têtes des différentes couches 
(voir la figure suivante). 


G 
5 


| ET 





ENEIR 
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| liaison de 
données 








Au passage par la couche 4, on ajoutera l'en-tête de couche 4, puis celui de couche 3 en passant par la couche 3, et ainsi de 
suite. 
Ce mécanisme s'appelle l'encapsulation, car on encapsule un message dans un autre. 


Nous voyons clairement qu'au final, ce qui va circuler sur le réseau est une trame de couche 2, qui contient le datagramme de 
couche 3 (qui lui-même contiendra l'élément de couche 4). 


Ainsi, Je vous a1 plus ou moins menti quand je vous ai donné le format d'une trame Ethernet. 


Adresse MAC DST | Adresse MAC SRC | Protocole de couche 3 


Trame Ethernet 


Je ne vous ai pas dit que dans les données à envoyer, 1l y avait en fait l'en-tête de couche 3, l'en-tête de couche 4, puis enfin, les 
données à envoyer. 





Adresse MAC Adresse MAC Protocole de en-tête de couche | en-tête de couche | Données à CRC 
DST SRC couche 3 3 4 envoyer 


Trame Ethernet 


Ceci dit, j'ai eu raison de vous le présenter ainsi, car la couche 2 est incapable de lire les informations de couche 3 ou de couche 
4, de même qu'elle ne comprend pas les données à envoyer. Pour elle, tout cela est une suite de 0 et de 1 qu'elle est incapable de 
comprendre, elle ne voit ça que comme des données. 


Maintenant, vous, vous savez que parmi ces données 1l y a les en-têtes des couches supérieures. 
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Exemple réel 


Nous allons utiliser le logiciel wireshark pour voir en pratique les trames qui passent sur notre réseau. Wus pouvez, vous aussi, 
s1 vous le souhaitez, télécharger et mstaller Wireshark pour voir les johes trames que votre machine reçoit. Cependant, nous 
apprendrons plus tard dans le cours à nous en servir plemement. 

Wireshark est un sniffer. Un sniffer est un programme qui écoute sur le réseau, mtercepte toutes les trames reçues et les affiche 
à l'écran. 


Dans un premier temps, nous pouvons voir la liste des trames reçues lors d'une requête Google avec la question "Site du Zéro" 
(voir la figure suivante). 


Ce n'est pas très parlant pour nous mais nous voyons que pour notre requête web, il y a eu plusieurs échanges de trames entre 
nous et Google. 


Nous allons maintenant nous plonger dans le contenu d'une trame en cliquant sur l'une d'entre elles. Wireshark sépare les 
éléments de chacune des couches du modèle OSI, comme vous pouvezle voir sur la figure suivante. 





+ Frame 187: 1340 bytes on wire (10720 bits), 1340 bytes captured (16720 bits) 


b Ethernet II, Src: Apple 16:21:84 (00:26:bb:16:21:84), Dst: Olicom c6:2b:d1 (0G:00:24:c6:2b:d1} 
b Internet Protocol, Src: 10.8.98.13 (10.8.98.13), Dst: 74,125.230,81 (74.125.230,81) 
b Transmission Control Protocol, Src Port: 60752 (60752), Dst Port: http (80), Seq: L, Ack: 1, Len: 1274 


D Hypertext Transfer PrOÉOCt 


Nous pouvons voir les éléments vus par la couche 1 (Frame 187...), puis la couche 2 Ethernet, puis la couche 3 IP, Internet 
Protocol, la couche 4 que nous ne connaissons pas encore et les données applicatives qui sont ici du web HTTP. 


Nous allons enfin pouvoir voir le contenu de chacune des couches en cliquant sur le triangle en face d'une couche. 
Commençons avec la couche 2 (voir la figure suivante). 


+ Ethernet II, Src: Apple 16:21:84 (00:26:bb:16:21:84), Dst: Olicom c6:2b:d1 (00:00:24:c6:2b:d1) 
F Destination: Olicom c6:2b:d1 (00:00:24:c6:2b:d1) 
b Source: Apple 16:21:84 (00:26:bb:16:21:84) 
Type: IP (G0x0800) 
b Internet Protocol, Src: 10.8.98.13 (16.8.98.13), Dst: 74.125.230.81 (74.125.230.81) 
F Transmission Control Protocol, Src Port: 60752 (60752), Dst Port: http (80), Seqg: 1, Ack: 1, Len: 1274 


> Hypertext Transfer Protocol 


Nous voyons bien les éléments que nous connaissons : l'adresse MAC destination et l'adresse MAC source. Wireshark 
reconnaît et nous montre qu'il s'agit d'une carte réseau Apple grâce aux trois premiers octets qui sont représentatifs du 
constructeur de la carte. Enfin, ilnous montre le protocole de couche 3 utilisé qui est 1c1 IP. 


Passons ensuite à la couche 3 (voir la figure suivante). 
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Fr 
b Ethernet II, Src: Apple 16:21:84 (00:26:bb:16:21:84), Dst: Olicom c6:2b:d1 (00:00:24:c6:2b:d1) 
+ Internet Protocol, Src: 10.8.98.13 (10.8.98.13), Dst: 74.125.230.81 (74.125.230.681) 
Version: 4 
Header Length: 20 bytes 
b Differentiated Services Field: Ox0Q (DSCP Gx0G: Default: ECN: GQx00) 
Total Length: 1326 
Identification: Qxe29e (58014) 
F Flags: Ox02 (Don't Fragment) 
Fragment offset: Q 
Time to live: 64 
Protocol: TCP (6) 
b Header checksum: Gxb647 [correct] 
Source: 10.8.968,13 (10.,8.98,13) 
Destination: 74.125.230.81 (74.125.230.681) 
B Transmission Control Protocol, Src Port: 60752 (60752), Dst Port: http (80), Seqg: 1, Ack: 1, Len: 1274 
 Hvpertext Transfer Protocc 











Nous ne connaissons pas tous ces éléments, mais nous pouvons voir en fin d'en-tête les adresses IP source et destination. 


Revenons à nos moutons 


© Oui, nous cherchions à comprendre pourquoi l'adresse IP de destination n'était pas en début d'en-tête IP ? 


Nous avons maintenant des éléments pour le comprendre. 
Quand un message arrive sur une machine, il remonte les couches du modèle OSI de la couche 1 à la couche 7. Il passe donc par 
la couche 2 qui lit l'adresse MAC de destination : 


e sic'est bien celle de la carte réseau, il lit le reste de la trame, puis transmet les données (le datagramme en fait !) à la 
couche 3 ; 
e sice n'est pas celle de la carte réseau, 1l jette la trame à la poubelle. 


Donc s1le message arrive à la couche 3, cela veut obligatoirement dire que la machine sait déjà que le message lui est destiné, 
puisque l'adresse MAC de destination est la sienne. Elle n'a donc pas la nécessité de savoir immédiatement si l'adresse IP de 
destination est la sienne, puisqu'elle sait déjà que le datagramme est pour elle. 


On peut donc placer l'adresse IP de destination où l'on veut dans l'en-tête IP. Les créateurs du protocole IP ne sont pas fous. D 


Nous connaissons donc maintenant deux éléments de l'en-tête IP et leur placement. Pour découvrir les autres éléments de l'en- 
tête IP, nous allons dès maintenant aborder l'élément essentiel de la couche 3, le routage ! 
Le routage 


Le routage va nous permettre d'envoyer un message en dehors de notre réseau. 
Comme nous l'avons vu précédemment, les réseaux sont reliés les uns auxautres, et nous passons souvent par plusieurs réseaux 
pour en Jomdre un autre, vous vous rappelez de la figure suivante ? 
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Ensemble de 


COCTC TON RECETTE 


Mon Réseau 





Mon ordinateur 


réseaux connectés 





© Mais comment se fait la liaison entre ces réseaux ? 


Eh bien comme pour la couche 2, nous avons un matériel spécifique pour gérer la connexion entre réseaux, le routeur. 
Le routeur 


© Le routeur est un matériel de couche 3 quirelie plusieurs réseaux. 





Il doit donc avoir une interface dans chacun des réseaux auquel il est connecté. 


C'est donc tout simplement une machine qui a plusieurs mterfaces (plusieurs cartes réseau), chacune reliée à un réseau. Son rôle 
va être d'aiguiller les paquets reçus entre les différents réseaux. 


Un ordinateur ayant deux cartes réseau pourra être un routeur. 


à Mais alors, qu'est-ce qui différencie un simple ordinateur d'un routeur ? 
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) 4 


Très peu de choses en fait. La différence principale est qu'un routeur accepte de relayer des paquets qui ne sont pas pour lui 
alors qu'une simple machine les jettera à la poubelle. 


Toute machine connectée à un réseau peut donc jouer le rôle de routeur. Il suffit d'activer le routage dessus. Nous verrons dans 


la partie pratique comment le faire. 


Prenons un exemple 


Nous allons nous mettre dans la peau d'un routeur. 


Imagmons que nous sommes une machine ayant comme adresse MAC l'adresse 00:11:22:33:44:55$ et comme adresse IP 
192.168.0.1/24. 
Nous recevons la trame suivante (dans laquelle nous mdiquons aussi l'en-tête de couche 3) sur une de nos interfaces : 


00:11:22:33:44:55 | 01:2B:45:56:78:ED IP SRC: 10.0.0.1 | IP DST: 136.42.0.28 





Trame Ethernet avec en-tête de couche 3 


Quelques petites questions. 





© Quelle est l'adresse IP de la machine qui a envoyé ces mformations ? 


Cette adresse IP est bien l'adresse IP source 10.0.0.1. 


© Quelle est l'adresse MAC de la machine qui a envoyé ces mformations ? (Attention au piège !) 





Nous ne pouvons pas la connaître ! Eh oui, si vous vous souvenez de la couche 2, une adresse MAC est propre à un réseau 
local. En dehors de ce réseau, nous ne la voyons pas. Justement 1c1, la trame arrive sur l'interface de notre machine ayant pour 
adresse IP 192.168.0.1/24. Son réseau ne contient donc pas l'adresse IP 10.0.0.1. 

La machine 10.0.0.1 ne fait pas partie de notre réseau et nous ne connafîtrons jamais son adresse MAC. 

L'adresse MAC que nous voyons ici en adresse MAC source est celle du dernier routeur qui nous a envoyé la trame. Nous 
allons approfondir tout cela par la suite. 


Vient mamtenant une question importante. 


©) Que se passe-t-il quand notre machine reçoit cette trame ? 





Je vous propose que nous y répondions ensemble. 


La trame arrive à ma carte réseau qui reçoit les 0 et les 1 et les envoie à mon système d'exploitation. La couche 2 de mon système 
d'exploitation reçoit les 0 et les 1 et les interprète pour me donner l'adresse MAC de destination de la trame. 

C'est mon adresse MAC 00:11:22:33:44:5S ! 

Donc je lis la suite de l'en-tête de la trame pour voir qui m'envoie cette trame et à quel protocole de couche 3 la couche 2 doit 
l'envoyer. Il est mscrit IP, donc j'envoie la trame en enlevant l'en-tête Ethernet, ce qui donne le datagramme IP, à la couche 3 et 
plus précisément au protocole IP. 

La couche 3, donc le protocole IP, lit l'ensemble des informations de l'en-tête IP, puisque nous savons maintenant que ce 
datagramme nous est destiné. 

Et là, badaboum, l'adresse IP de destination du datagramme n'est pas la nôtre. 


Ceci étant, ce n'est pas grave, car nous avons vu auparavant qu'il est normal pour un routeur de recevoir un message quine lui 


est pas destiné. 
Son rôle va mamtenant être d'aiguiller le datagramme vers sa destination. 
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© Mais comment fait-il cela ? 


Il possède en fait une table dans laquelle est indiqué le prochain routeur auquel il doit envoyer le datagramme pour que celui-ci 
arrive à sa destination. 
Cette table est très importante et s'appelle la table de routage ! 


Je le répète, car elle est très importante : cette table est très importante et s'appelle la table de routage ! 


La table de routage 


La table de routage va donc lister les routeurs auxquels je peuxenvoyer mon datagramme pour joindre une destination donnée. 
La destination donnée ne va pas être une machine, mais un réseau. Si on devait mdiquer un chemin pour chaque machme sur 
Internet, les tables de routage seraient énormes ! {72 





Le principe est d'avoir d'un côté la liste des réseaux que l'on veut jomdre, et de l'autre la liste des routeurs à quinous devons 
envoyer le datagramme pour joindre les réseaux. On appelle aussi ce routeur une passerelle. 


ici un exemple de table de routage : 





Les tables de routage posséderont donc toujours ces informations mais, selon les systèmes d'exploitation, le format de la table 
pourra être un peu plus compliqué et comporter des colonnes supplémentaires. 
Par exemple, voici à la figure suivante la table de routage de ma machine sous Mac. 
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Éouting tables 


Internet: 
Destination 
default 

LA. 


HI Li 


24,169 
F4 24 
3.1 
ÉCERCE 
.168.165.1 
.168.165,255 


Gatemd'y 
IUT 


Links 


Re ser nie 


T4 
" L ls " L ls 
LE | L 1 


PT 

| LL 
— 
CE 


he 


ss ——] 


ir F L TE 
Link#s 
lLink#e 
ÉRerlar 
link#8 
Link” 
Fi Je A7? An 
LEE 


# (| 
| 


A 1 — 
A j 


Link#s 
Link#s 
Link#g 
G:54:56:cE 
Link#g 
Link#lé 

Fe SES 


lLink#16 


Flags 
RREETS 
RESTE 
RIFETS 
BIBE: 
UHLWI 
UHS 
UHLHI 
UHLWI 
UHLHI 
UHLWI 
UHLWI 
UHLHI 
UHLHI 
UHLWEI 
LE 
UHLHI 
UHLWEI 
LE 
UHLHI 
UHLWEI 
BNES 

LH 

AVES 
UHE LH 
LE 
UHLHI 
UHLWEI 
LE 
UHLHI 
UHLWEI 


Table de routage Mac OS 2 


1 
= D 
CE | — 


PT 
— 


1 É 
3 1 


on 


Le 
J Ci LL 


pe 1 [- 


he 


EU 


LS 
— 


— TR. 
D te 1 NN 
— —" 


1 Lil — LÉ.) 


— À 


1 Lu — [ME 


=, 


EE ve 


=, 
mme 


a Ee 


1 CJ 


=" 


1 Lu = [| 


J 


[- . 


LI 
Lil Mi 


me” 


A 
——, —, 
Ur (D 


Let L 
C1 


24€ 


Fi 


d 4F A0 ; ni TA Li qu 


7503 
248 
F 
9116 


1 
LOL 


“nicé 
l'a 
MÈRE 


vmnetl 


L'afi 


vmnetl 


“mneté 


xpire 


1192 


119% 
1115 
1165 
1158 
119 
1144 





On voit bien dans la colonne de gauche les réseaux que je veux Joindre, et dans la colonne juste à sa droite les passerelles 
(gateway en anglais) par lesquelles je dois passer pour joindre le réseau correspondant. Les autres colonnes ne nous intéressent 


pas pour l'instant. 


On récapitule : 


Il est important de bien comprendre et retenir ce qui précède, car le routage est la base du fonctionnement d'Internet ! 


un routeur est une machine possédant plusieurs interfaces ; 
chaque interface d'un routeur est connectée à un réseau, le routeur relie ainsi plusieurs réseaux entre eux ; 
toute machine ayant plusieurs interfaces peut Jouer le rôle de routeur, même le vieux PC de mamie ; 
un routeur se différencie d'une simple machine, car il accepte de relayer des paquets qui ne lui sont pas destinés ; 
un routeur aiguille les paquets grâce à sa table de routage ; 
la table de routage mdique quelle passerelle utiliser pour joindre un réseau. 


Si l'on reprend le dernier point, la table de routage indique quelle passerelle utiliser pour joindre un réseau. 
Cela nous amène à une nouvelle question. 
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Pour répondre à cette question, nous allons voir qu'un mécanisme simple a été mis en place : la route par défaut. 


La route par défaut 


Nous venons de voir dans ma table de routage sous Mac une mformation importante. Dans la première ligne, ce n'est pas un 
réseau qui est mdiqué, mais le mot défaut. 

Cela mdique que si une adresse que je veux joindre n'appartient à aucun des réseaux indiqués dans ma table, il faudra 
emprunter la passerelle indiquée dans la route par défaut. Cela va régler le problème lié à la multitude de réseaux sur Internet. Il 
me suffira d'ndiquer dans ma table une route par défaut qui permettra d'aller vers Internet et donc de joindre tous les réseaux qui 
y sont présents. 


Ceci reste encore très abstrait et sûrement complexe à comprendre, alors prenons un petit exemple pour fixer les idées. 


Exercice de routage 


ici en figure suivante un schéma réseau qui contient plusieurs réseaux Nous allons essayer d'écrire les tables de routage des 
routeurs. 





192.166.0.0/24 
.294 





Routeur 1 


254 


192.168.1.0/24 





Réseau simple 
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Sur ce schéma, nous voyons deuxréseaux(192.168.0.0/24 et 192.168.1.0/24) reliës entre eux grâce au routeur 1 qui possède une 
interface réseau dans chacun de ces réseaux. 

Pour les adressages des machines, je n'ai indiqué que le dernier octet de l'adresse, car les trois premiers identifient le réseau et 
sont donc déjà connus. Par exemple pour la machine en haut à gauche d'adresse .1 qui est dans le réseau 192.168.0.0/24, on peut 
déduire son adresse complète quiest 192.168.0.1. 


deux adresses sont pour des interfaces qui ne sont pas dans les mêmes réseaux. Ainsi, le routeur a comme adresse 


On pourrait croire qu'il y a une erreur au niveau du routeur qui a deux fois la même adresse, mais tout est normal, car ces 
À 192.168.0.254 sur son mterface du haut et 192.168.1.254 sur son mterface du bas. 





Maintenant, essayons d'écrire la table de routage du routeur 1. 


Pour cela, je vais vous donner une méthode qui s'appliquera toujours et qui fonctionnera pour tous les cas : 


1. mdiquer les réseaux auxquels ma machine est connectée ; 
2. indiquer la route par défaut ; 
3. indiquer tous les autres réseaux que je ne peux pas encore joindre avec les deux étapes précédentes. 


Appliquons la méthode. 
1 - Indiquer les réseaux auxquels ma machine est connectée. 
Mon routeur 1 est connecté à deuxréseaux, 192.168.0.0/24 et 192.168.1.0/24. 


Pour l'instant, nous ne nous soucions pas d'indiquer les passerelles, cela viendra dans un second temps. 









Passons à la seconde étape. 
2- Indiquer la route par défaut. 
Le cas est un peu particulier, car notre routeur est déjà connecté à tous les réseaux du schéma. Il n'a donc pas besoin d'une route 


par défaut pour aller vers d'autres réseaux, il les connaît déjà tous ! 


3- Indiquer tous les autres réseaux que je ne peux pas encore Joindre avec les deux étapes précédentes. 
Même chose que la réponse précédente, il n'y a pas de réseau supplémentaire à mdiquer. 


La table de routage sera donc : 









I nous reste à y indiquer les passerelles. Pour cela, nous allons appliquer une règle simple : la passerelle pour joindre un de mes 
réseaux est mon adresse. 








Ici, cela va donner : 





Table de routage du routeur 1 
192.168.0.0/24 192.168.0.254 


192.168.1.254 













192.168.1.0/24 
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EE ———————— (1 | 


Et voilà ! Nous avons mis en place la table de routage du routeur | ! 


© Maintenant, est-ce que cela suffit pour faire dialoguer nos deuxréseaux entre eux ? 


La réponse est malheureusement non, bien que le routeur sait mamtenant aiguiller les paquets qu'il reçoit. 





©) Dans ce cas, comment les machines du réseau vont savoir qu'il faut lui envoyer les paquets ? 


Eh bien elles auront, elles aussi, une table de routage. Toute machine connectée à un réseau possède une table de routage, même 
une imprimante, un téléphone, ou le vieux PC de mamie. 


C'est grâce à cette table de routage qu'une machine peut savoir à quelle passerelle envoyer un paquet quand elle veut joindre un 
autre réseau que le sien. On peut donc reprendre le schéma précédent et, par exemple, faire la table de routage de la machine 
192.168.0.1. 


On utilise notre méthode : 
1- Indiquer les réseaux auxquels ma machine est connectée. 
Ma machine est connectée à un seul réseau 192.168.0.0/24, ce qui donne pour la table de routage : 


Table de routage de 192.168.0.1 
192.168.0.0/24 







2- Indiquer la route par défaut. 
Cette fois, nous pouvons indiquer la route par défaut pour joindre un autre réseau que le nôtre, par exemple 192.168.1.0/24 (même 
sinous n'avons pas trop le choix dans notre exemple, vu qu'il n'y a qu'un réseau...) : 










Table de routage de 192.168.0.1 


192.168.0.0/24 
192.168.1.0/24 


3- Indiquer tous les autres réseaux que je ne peux pas encore Joindre avec les deux étapes précédentes. 
Là encore, nous avons déjà mdiqué les deux réseaux que nous pouvons jomdre, donc cette étape peut être oubliée. 


Notre table de routage est donc : 











Nous savons déjà remplir la première ligne, car elle concerne notre propre réseau, nous pouvons donc y mdiquer notre propre 


adresse en passerelle : 
Table de routage de 192.168.0.1 
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Réseau à joindre passerelle 


192.168.0.0/24 192.168.0.1 


192.168.1.0/24 





Il nous reste à indiquer la passerelle à utiiser pour joindre le réseau 192.168.1.0/24. 
La question est donc la suivante. 





© À qui la machine 192.168.0.1 doit envoyer ses paquets pour joindre le réseau 192.168.1.0/24 ? 


On se doute qu'il va falloir les envoyer au routeur R1, mais à laquelle de ses deux mterfaces ? 


Pour répondre à cela, je vous propose d'utiliser une métaphore pour nos réseaux. 

Nous allons imaginer que chacun de nos réseaux est une pièce d'une maison, et que le routeur est la porte qui permet de relier les 
deux pièces. La porte a deux poignées, chacune dans une des deux pièces, comme les deux interfaces de notre routeur. 

Quand je suis dans une pièce et que Je veuxaller dans l'autre, quelle poignée puis-je utiliser ? Celle qui est de mon côté de la 
porte, ou l'autre ? 


La réponse est évidente : 1l faut que j'utilise la poignée qui est de mon côté de la porte ! 
Eh bien c'est pareil pour le routage. Pour joindre un réseau, une machine doit utiliser une passerelle qui appartient à son 
propre réseau. 


Ici, ce sera donc l'adresse du routeur qui est sur le même réseau que la machine 192.168.0.0/24, soit l'adresse 192.168.0.254. Ce qui 
nous donne : 









Table de routage de 192.168.0.1 


192.168.0.0/24 192.168.0.1 
192.168.1.0/24 192.168.0.254 


Youhou ! Nous savons mantenant faire des tables de routage ! 






Pour en être bien sûrs, nous allons prendre des exemples un peu plus complexes. Observez la figure suivante. 
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10.0.0. 34 
…ù 54 






| Routeur 3 


"T7 253 





152. 166 0. 0/24 











354 
( Routeur 1 
_S ail 


il 254 


192. 168 1. 0/24 


Routeur 3 


“ | Routeur 4 


10.0. 1 24 


Réseau plus complexe 


Ça, c'est du réseau ! Bien que cela reste en réalité un très petit réseau, pour nous, c'est déjà pas mal ! Nous allons donc refaire, 
comme dans l'exercice précédent, les tables de routage du routeur 1 et de la machine 192.168.0.1. 
À vous de jouer ! Et n'oubliez pas d'utiliser la méthode en trois étapes. 


Pour le routeur 1. 


Commençons par le routeur 1, pour la première étape, rien n'a change, 1l a toujours ses deux interfaces connectées aux mêmes 


réseaux. 
Table de routage du routeur 1 
192.168.0.0/24 
192.168.1.0/24 











Pour l'étape 2, ça change. 

2- Indiquer la route par défaut. 

Ici, le routeur 1 doit avoir une route par défaut, car il peut aller sur Internet, mais 1l ne peut pas connaître tous les réseaux 
d'Internet. Sa passerelle doit lui permettre d'aller sur Internet et sera donc la première étape pour aller vers Internet. Il doit passer 
par le routeur 3, sur l'interface qui est sur le même réseau que lui, soit 192.168.1.253. 


Table de routage du routeur 1 
192.168.0.0/24 
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192.168.1.0/24 192.168.1.254 








© Mais vu qu'il va devoir aussi passer par le routeur 4 ensuite, pourquoi ne pas indiquer directement le routeur 4 ? 


Eh bien c'est l'histoire du serpent qui se mord la queue, ou de la poule et de l'œuf! (5) 


S1, pour sortir de mon réseau, j'ndique une passerelle qui est en dehors de mon réseau, je ne pourrai jamais l'atteindre, car pour 
l'attemdre il faudrait que je sache sortir de mon réseau... et pour sortir de mon réseau 1l faudrait atteindre la passerelle. Je ne 
continue pas, vous voyez qu'on n'arrivera Jamais à sortir de notre réseau dans ce cas ! 


On en déduit une règle très importante : les passerelles mdiquées dans ma table de routage appartiennent toujours à l'un de 
mes réseaux. 


Ainsi, pour mon routeur |, je ne devrais trouver que des passerelles qui sont dans les réseaux 192.168.0.0/24 et 192.168.1.0/24,. 
Ouf, c'est bien le cas dans ma table de routage ! 


Passons à la troisième étape. 

3- Indiquer tous les autres réseaux que je ne peux pas encore Joindre avec les deux étapes précédentes. 

Là, ça se complique. 

Il y a globalement 4 réseaux sur notre schéma (192.168.0.0/24, 192.168.1.0/24, 10.0.0.0/24 et 10.0.1.0/24) plus Internet. 


Actuellement, nous savons aller vers les deux premiers. Nous savons aussi aller vers Internet grâce à notre passerelle par défaut. 
I nous reste donc deux réseaux à joindre, 10.0.0.0/24 et 10.0.1.0/24,. 


Cependant, s1 on y regarde de plus près, nous savons aussi aller vers le réseau 10.0.1.0/24, car 1l est derrière ma passerelle par 
défaut. 


En effet, imagmons que le routeur 1 veut envoyer un paquet vers la machine 10.0.1.1. II va aller voir dans sa table de routage et 
va la parcourir. 

En fait, il va parcourir les routes une à une et va regarder si la machine qu'il veut jondre appartient aux réseaux définis dans les 
routes : 


10.0.1.1 n'appartient pas au réseau 192.168.0.0/24 de la première route, donc elle ne convient pas ; 
10.0.1.1 n'appartient pas non plus au réseau 192.168.1.0/24 de la seconde route, donc elle ne convient pas non plus ; 
comme la définition de la route par défaut nous le dit, nous allons utiliser la passerelle associée à la route par défaut, et 
notre paquet va être envoyé à l'adresse 192.168.1.253 du routeur 3 ; 

e çayest, vu que le routeur 3 est connecté au réseau 10.0.1.0/24 que nous voulons joindre, il saura lui transmettre le 
paquet. 


Nous en déduisons que nous pourrons joindre tous les réseaux quise situent derrière notre passerelle par défaut, que 
ce soient des réseaux locaux ou des réseaux sur Internet. 





Vus l'aurez peut-être remarqué aussi, quand nous parcourons une table de routage afin de trouver une route pour joindre une 
destination, nous faisons exactement les mêmes calculs que nous avons faits dans le chapitre sur les masques de sous-réseau. 
C'est-à-dire, savoir si une adresse appartient à un réseau. 


Mais revenons à l'exercice, car nous savons Jomdre tous les réseaux sauf un, le réseau 10.0.0.0/24. 
Eh bien nous allons ajouter une route pour lui. En regardant le schéma, nous voyons qu'il faut passer par l'adresse 192.168.0.253 
du routeur 2 pour aller vers le réseau 10.0.0.0/24. Ce qui nous donne au final : 










Table de routage du routeur 1 
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| 10.0.0.0/24 | 192.168.0.253 | 


Il existe une autre écriture possible pour la route par défaut qui est parfois identifiée par le réseau 0.0.0.0/0. 
Ceci donne une autre écriture de la table de routage : 

















Table de routage du routeur 1 


Pour la machine 192.168.0.1, je vous donne directement la correction : 











Table de routage de 192.168.0.1 


il ! Vous savez maintenant comment les paquets sont aiguillés d'un réseau à un autre et comment fonctionne le routage. 
Vus êtes aussi capables d'écrire les tables de routage des machines pour des réseaux simples. 


Si vous voulez vous entraîner, voici les tables de routage de quelques autres machines du schéma : 










Table de routage de 10.0.0.1 


10.0.0.0/24 10.0.0.I 
0.0.0.0/0 10.0.0.254 











Table de routage du routeur 2 


Table de routage de 10.0.1.2 








Réseau à joindre passerelle 


10.0.1.0/24 10.0.1.2 


0.0.0.0/0 10.0.1.254 





192.168.1.0/24 10.0.1.253 
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192.168.0.0/24 10.0.1.253 





10.0.0.0/24 10.0.1.253 


Dans ce cas, on peut aussi simplifier en regroupant les réseaux 192.168.0.0/24 et 192.168.1.254/24 en un seul réseau avec un 


masque plus grand : 












Maintenant que nous commençons à avoir quelques connaissances théoriques assez poussées, nous allons pouvoir passer à la 
pratique et aux TP ! Enfin ! 


Mise en pratique du routage 
Installation 


Linux vs Windows 


Nous allons travailler sous Linux. Il n'est pas question ic1 de comparer Windows et Linux, qui ont chacun leurs avantages et 
inconvénients, mais de choisir le système le mieux adapté à ce que nous voulons faire, c'est-à-dire du réseau. 


L'avantage sous Linuxest que nous allons pouvoir voir concrètement ce que nous faisons. Accéder aux fichiers de 
configuration, mettre en place des fonctions avancées, etc. 


Pour ceux qui n'ont pas l'habitude de Linux, la première étape sera de se familiariser avec ce système. Ne vous mquiétez pas, ce 
n'est pas du tout sorcier. 

Ce qui nous intéresse dans ce tutoriel n'est pas le système mais le réseau. Je vous laisserai donc vous occuper d'installer et 
mettre en place les outils et systèmes nécessaires. Wus pouvez par exemple commencer par l'excellent tutoriel de M(@teo21 sur 
Linux. 


L'architecture 
En réseau, on parle souvent d'architecture pour mdiquer comment les machines sont branchées entre elles. 


Par exemple, vous avez déjà découvert deux architectures réseau dans nos précédents exercices sur le routage ; regardez donc la 
figure suivante. 
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10.0.0. 34 
…ù 54 


: < Routeur 3 


253 










152. 166 0. 0/24 






Routeur 1 


EE... __-üil 


il 254 








192. 168 1. 0/24 


Routeur 3 






me | Routeur 4 


10.0. 1 24 


Ceci est une architecture qui fait le lien entre nos machines, nos routeurs, nos switchs et Internet. 


© Euh, ils sont où les switchs ? Je ne les vois pas sur le schéma... 





En fait, ce schéma est ce que nous appelons un schéma logique. Cela veut dire que nous représentons dessus la logique de 
connexions entre les réseaux. 

Ains1, les switchs qui sont censés être propres à un réseau ne sont pas vraiment représentés. Ils le sont plus ou moins par les 
barres horizontales qui identifient chacun des réseaux. 


Étape 1, notre machine 


Avant de nous plonger dans une architecture complexe, nous allons déjà aborder ce que l'on peut voir au niveau du routage et 
de la couche 3 avec notre machine. 


Sous Windows 


J'imagine que la grande majorité d'entre vous se trouvant sous Windows, il peut être mtéressant de voir ce que l'on peut faire sur 
ce système. 

En ce qui me concerne, je suis sous Windows XP pro. Si jamais vous êtes sous Vista ou Seven, l'interface a été légèrement 
modifiée mais les mêmes informations sont toujours présentes. 


Déjà, 1l faut comprendre qu'une partie des mformations sera visible et configurable en ligne de commande DOS, et une autre 
partie ne le sera que depuis l'interface graphique. 


Commençons par la ligne de commande. 


Pour ouvrir une fenêtre DOS, cliquez sur Démarrer, puis exécuter, et tapez "cmd" dans l'invite de commande. Une fenêtre 
DOS devrait s'ouvrir, semblable à la figure suivante. 
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Microsoft Windows #P [luersion 5.1.26H4] 
Cr Copuright 1985-2681 Microsoft Corp. 


C: Documents and Settings Administrateur: 





Nous allons regarder notre configuration réseau à l'aide de la commande ipconfig. On va en profiter pour agrandir notre fenêtre 
pour voir tout ce quise passe à l'écran. 


Pour moi c'est assez simple, je n'ai qu'une carte réseau (voir la figure suivante). 


#5 -[#/x|) 
Microsoft Windows £F [uersion 5.1.26841 
Cr Copyright 1985-2881 Microsoft Corp. 


C=: Documents and Settings fdministrateur;ipconfig 


Confiquration IP de Windows 











Carte Ethernet Connexion au réseau local: 


Suffixe DNS propre à la connexion 
Adresse IP... . 
Masque de sous-réseau . . . . 
Passerelle par défaut . - 


14.6.94.231 
200-200-2409. 
14.8.97.1 


C:“Documents and Settings fdministrateur: 





Nous voyons ici trois mformations intéressantes : 


e je possède l'adresse IP 10.8.98.231 ; 
e elle est associée au masque 255.255.240.0 ; 
e et j'ai comme passerelle par défaut 10.8.97.1. 





Vus pouvez vous amuser à calculer ma plage d'adresses réseau s1 cela vous tente ! 


Maintenant, regardons la table de routage que nous pouvons voir à l'aide de la commande route print (voir la figure 
suivante). 
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C3 -[#1x! 


C=: Documents and Settings Mdministrateur*route print 








MS TCF Loophack interface 
Carte AMD FCHET Family Ethernet FCI —- Miniport d 


Itinéraires actifs 
Destination réseau Masque réseau Âdr. passerelle dr. interface Métrique 
6.4.4.64 1.6.4.4 14.8.97.1 14.8.98.231 1h 
14.6.96.H 255.255.249.64 14.6.98.231 14.8.98.231 
1H.6.98.231 255.255.2466,.26056 127.4.4.1 127.4.4.1 
14.2556.266.265 255.209.205.205 14.6.98.231 14.6.96.231 
127.60.6.H 255.8.4.4 127.4.H4.1 127.4.4.1 
224.0.4.H 240.9.4.4 1H.6.98.231 14.8.94.231 
205.266.206.206 2565.2006.206.205 14.6.98.231 14.8.96.231 
Passerelle par défaut : 1H.84.97%7.1 


Itinéraires persistants 
Aucun 


C=: “Documents and Settings Administrateur: 





On voit ici ma passerelle par défaut identifiée par l'écriture 0.0.0.0/0. On voit aussi mon propre réseau local 10.8.96.0/20 qui a pour 
passerelle mon adresse 10.8.98.231. Tout cela est bien normal. 


Par contre, Windows nous ajoute une foultitude de routes de plus auxquelles nous ne nous intéresserons pas, car elles sont 
propres à l'implémentation que fait Windows du routage. 





Oui, et nous avons la commande ping pour cela. Cette commande permet de savoir si nous arrivons à jomdre une machine (voir 
figure suivante). 


C=:“ Documents and Settings fdministrateur;ping 14.8.9%7.1 
Envoi d'une requête ‘ping’ sur 18.9.97.1 avec 32 octets de données : 


de 14.4.99.1 =: octets=324 temps=-17 ms TTL=265 
de 14.4.97.1 =: octets=324 temps=2 ms TTL=255 
de 14.4.99.1 : octets=324 temps=6 ms TTL=255 
de 14.4.99.1 =: octets=324 temps=S ms TTL=255 


Statistiques Finçg pour 1H.8.9%7.1: 

Paquets : envoyés = 4, reçus = 4, perdus = A perte B#2, 
Durée approximative des houcles en millisecondes : 

Minimum = ms, Maximum = 1ms,. Moyenne = ‘ms 


C:“Documents and Settings ädministrateuri. 








Nous voyons ici qu'une requête a été envoyée à la machine 10.8.97.1 (en fait, 4 requêtes ont été envoyées). 
La machine nous répond ensuite 4 fois. 


(Si vous n'avez pas la réponse, nous y reviendrons dans le prochain chapitre.) 
Ça marche, nous communiquons avec la machine 10.8.97.1 ! {*) 
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C:“Documents and Settings fdministrateurping wuw.siteduzero.com 


Envoi d'une requête ‘ping’ 


de données : 


de 
de 
de 
de 


Statistiques Fing pour 92.243.246.2397: 
envoyés = 4, reçus = 4, perdus = 
Durée approximative des boucles en millisecondes 


Faquets : 


92.243.29.239 : 
92.243.25.239 : 
92.243.25.239 :- 
924.243.25.239 : 


sur vuu.siteduszero.com [92.243.26,.239) avec 32 octets 


octets=32 
octets=34 
octets-=32 
octets=34 


temps =73 
temps ="/# 
temps =53 
temps =56 


TTL=54 
TTL=54 
TTL=54 
TTL=54 


<perte HA). 


Minimum = Sms, Maximum = 93ms, Mouenne = 6b6ms 


C=:“Documents and Settings fädministrateur: 














Comme vous pouvezle constater sur la figure précédente, ça marche encore ! De plus, nous voyons même que l'adresse IP du 


Site du Zéro est 92.243.25.230, 


Si vous Vous souvenez, nous pouvons aussi voir les routeurs par lesquels nous passons pour joindre une destination grâce au 


traceroute qui, sous Windows, se fait par la commande tracert. Je vous en donne un mtéressant en figure suivante. 


C=:“Documents and Settings fädministrateuritracert uuw.intechinfo.fr 


Détermination de l'itinéraire vers uuu.intechinfo.fr 


avec Un maximum de 


| 

2 

3 

4 

D 

b 

# 

à 

7 
1H 
11 
12 
13 
14 
15 
16 
17 
18 
M, 
2H 
21 
22 
2 3 
2 4 
20 
26 
26 
24 
+ 
36 


MONO ENNONOEOE NON NOK OX OX XX 
MONO OEONONONOUE EEE ON ON NOK OX OX XX 


Itinéraire déterminé. 


SaAUtS 


MERE NEXEEE EX ENX XX X XX X 


14.8. 


77.1 


neufhox 1[1192.164.1.11 
Délai d'attente de la demande dépassé. 
17.242.78-66.reuv.gaoland.net [46.74.242.17%71 
33.246.183-684.reu.qaoland.net [84.1H3.248.331 
158.141.96-84.reu.cgaoland.net 
166.141.96-84.reu.qaoland.net 
176.248.96-684.reu.qaoland.net 
14.16.55.11 
14.15.55.11 
14.15.54.1 


Délai 
Délai 
Délai 
Délai 
Délai 
Dé lai 
Délai 
RER 
Dé lai 
Délai 
Délai 
Dé lai 
Délai 
Délai 
Délai 
Dé lai 
Délai 
Délai 
Dé lai 


d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 
d'attente 


C:“Documents and Settings Administrateur: 





demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 
demande 


REBELLE 


158.251 


[64.96.141.1561 
L64.96.141.1661 
L64.96.248.17/81 


dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 
dépas 


da 6 D Di 9 6 On Da D Gi Gi DA 69 O1 DA 9 01 O1 Éd 
Ts, ÉTis, Te, ÉTis, CTis, ÉD, ÉTÉ ET ÉTes ÉTls ÉTls, ÊTis, Ê Tin, Ti ÉTies Cite Cine ÉTT 
0] CL] E 0] [] CL] 0] CL] [| 0] C] L] C] 0] [| CL] C] E [] 





J'ai fait un tracert vers le site web de mon école, mais il n'aboutit pas. Cela ne veut bien sûr pas dire que la machine n'est pas 
joignable, mais simplement qu'il y a un routeur sur le chemin qui bloque l'envoi ou la réception de mon traceroute. 


Il est par ailleurs intéressant de voir aux étapes 9, 10 et 11 que nous passons sur Internet par des réseaux privés ayant des 
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adresses RFC 1918 !! 
Cela est dû au fait que les opérateurs utilisent ces adresses sur leurs réseaux privés mais que ces routeurs ne communiquent pas 
directement avec des machines d'Internet. 


Ainsi, nous voyons bien que notre machine possède tous les éléments nécessaires au bon fonctionnement de la couche 3. 


En revanche, s'il n'est pas simple sous Windows de modifier sa configuration réseau, cela peut se faire très facilement 
graphiquement. 


Cliquez sur Démarrer,puis Panneau de confiqurationetchoisissezConnexions réseau. us cliquezavec le 
bouton droit sur la connexion que vous voulez voir, puis dans la nouvelle fenêtre, cliquez sur 


Protocole Internet (TCP/IP) etenfin sur Propriétés. 


ici à la figure suivante ce que vous devriez voir. 


Propriétés de Protocole Internet (TCP/IP) 





Les paramètres IP peuvent étre déterminés automatiquement s1 votre 
réseau le permet. Sinon. vous devez dérmander les paramètres ÎP 
appropriés à votre administrateur réseau. 


Ce) Obtenir une adresse IP automatiquement 


€ à Utiliser l'adresse IP suivante : 





(e) Obtenir les adresses des serveurs ONS automatiquement 


€ Utiliser l'adresse de serveur DNS suivante : 

















Ici, on voit que mon adresse IP est donnée automatiquement. En fait, c'est le routeur de mon opérateur qui me la fournit. 
Ceci dit, on peut tout à fait fixer soi-même ces mformations (voir la figure suivante). 


Www.openclassrooms.com 


Partie 2 : Communiquer entre réseaux 107/220 





Propriétés de Protocole Internet (TCP/IP) 


Général | 


Les paramètres IP peuvent étre déterminés automatiquement 41 votre 
réseau le permet. Sinon. vous devez demander les paramètres ÎP 
appropriés à votre administrateur réseau. 























€} Obtenir une adresse IP automatiquement 


(e) Ublser l'adresse [PF survante : 


Adresse IP: | 10 re | 





Masque de s0us-rÉéseau : | 258 . 299 . 40. Da 











Passerelle par défaut : | “ de 1 | 





(e) tiger l'adresse de serveur ONS suivante : 





Lerveur OMS préféré : 











Serveur ONS aualiaire : 























AVANCE. 
| 








Vilà, vous savez mantenant où trouver les mformations IP sous Windows et comment les modifier. 
Regardons mamtenant sous Linux ce que cela peut donner. 


Sous Linux 


Je vous conseille d'utiliser une Debian. 

Debian est une distribution formidable et très orientée services et stabilité. Amsi en installant une Debian de base sans 
environnement graphique, vous aurez une machine consommant très peu de ressources. Et vu que nous allons par la suite 
installer plusieurs machines virtuelles sur votre machine, il serait mtéressant de ne pas consommer trop de ressources pour que 
votre machine tienne la charge. 


Nous allons installer une Debian virtuelle dans la suite du cours, donc si vous n'en avez pas sous la main, pas la peme 
de vous lancer dans l'installation, ça va arriver ! 





Â 


Pour l'instant, nous allons découvrir les commandes utiles sous Linux pour accéder aux mformations réseau. 
Pour afficher son adresse IP, c'est la commande ifconfiq. 


Code : Console 


SOS MRC ON EC) 

eth0 Link encap:Ethernet HWaddr 00:40:63:e8:09:89 
INerRecie con POS CE MECS tes POS 75 MIE Que; 2 0 
adrinebto 7 01e 0RE ARS 2106 Rees 09/6418 5605e%0iKoeul 
cdeinenco re 07-2710 600 eee 007 SCCe "rien 
D'EMRR ONE CR SMS UNNENCMEMMARRCMSMSS NT PS DONS LE CEul 
RX packets:102942465 errors:0 dropped:0 overruns:0 frame:0 
Truhpackers: 19672218 rr60rS 0N ropped: 0Novereunsc0NCarerer.0 
Cor ons OMIS MES ren SmesSrene 000 
Rr pVresS: 096 RE lOMR SEC ART eC res 752980922102 CHrb) 
Interruption:18 Adresse de base:0xfc00 


ne) Link encap:Boucle locale 
ner aodi, 12PR 00 RNA S Que 2 5e RON 00 
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Adréinerc ee 26 SCoOpe Ro re 

UPNEOOPEACKF RUNNING OMTU:- 6256 _Métric: | 

Féopackers 100800 Æercors DNdroppedr0NovVerreruns 0'Æerame:t0 

Te bpackets 290590 rrors -Maropped lover runss ONCcarrirere 0 
Cols or OMR AM Eee ne MmaS For 0 

Robe 22029000 IP NME MOTO eee 227020900027 12e) 


Nous voyons ici que ma machine possède deux interfaces réseau. La première est l'interface eth0 (eth pour Ethernet !) quiest 
ma carte réseau. 
La ligne quinous mtéresse dans sa configuration est la suivante : 





inet adr:88.191.45.68 Bcast:88.191.45.255 Masque:255.255.255.0 


Nous pouvons y voir notre adresse IP 88.191.45.68, notre masque 255.255.255.0 et l'adresse de broadcast 88.191.45.255. 


Enfin nous avons l'interface lo (pour local, ou /oopback) qui est une interface réseau virtuelle qui n'est accessible que sur la 
machine elle-même. Son adresse est toujours 127.0.0.1, sur toutes les machines. C'est une convention. 


Pour voir ma table de routage, la commande est route -n: 


Code : Console 


SACS ECO Een 
Table de routage IP du noyau 


Destination Passerelle Genmask Indic Metric Ref Use Iface 
oh URSS D DAOPAUENE PISE 2 Ce De) U O0 O0 0 eth0 
CAOAOEME ee IN NAS CERCPAURAL UG O0 O0 0 eth0 


On voit tout de suite la sobriété de cette table par rapport à Windows ! Ga 





La première ligne est pour notre réseau, et on voit une particularité de Linux qui n'indique pas notre adresse, mais 0.0.0.0. C'est 
comme Ça. 
La seconde est la route par défaut qui est 1c1 88.191.45.1. 


Maintenant que nous avons affiché les mformations, nous allons voir ce qu'il faut faire pour les modifier. 
Sous Linux, tout est modifiable depuis la ligne de commande. 


Par exemple, on peut utiliser la commande i fconfig avec des options pour modifier son adresse et la remplacer par 10.0.0.1/24 


À 


Attention, s1 vous faites une modification d'adresse ou de routage sur une machine distante à laquelle vous êtes 
connectés, vous perdez votre connexion ! Ne le faites que sur une machine sur laquelle vous avez un accès physique. 





Code : Console 


Sonor M LCONE Ier UNE ON IEEE Re 7 02570 

SORTE SEM ECC NUE ANG) 

eth0 Link encap:Ethernet HWaddr 00:40:63:e8:09:89 
Terrace NORD UE MREC es NON Que. 72-5922: #0 
APAINnerC M 72 0m ED AE 2406-0964, Scope: Cl'obal 
adr inet6: fe80::240:63ff:fee8:989/64 Scope:Lien 
DEMEROE DOTE TA RUNNINCRMUETRCT STI SUD MSErre 1 
Fropacketrs: 12095061 errors: DRdeophedr0Novereuns 0NErame:t 
Tkpackets 7656144 Néréors -0Mhdropped: Dove runs ONecarrrer:0 
co MMS ROME ONCE ES a Sins = ren APT 
Mb re nr 00 CSS UM SNCE NT Ver 2-20) 0 NS CNE) 
Interruption:18 Adresse de base:0xfc00 


IS linkéencap:BouclemFocarre 
Pnéervnacie 1029 00 MNNNÉS Que 227000 
adr'inéréo M: l/P2S46Cope:ôote 
UD'ENEOOPEACRNERUNNINCNMIU ETS CNMEtEr ec: 
Rispacketr= 101 21Merr0o rs 0 drone ON Ve re bns ON rame 0 
Tr packets:5491521Nerr0ors-0dropped:01l'overruns:0 Carrier: 0 
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COMME Re TE OMIS at EN ES a Ses SC 0 


RSle\se se 72820000 ANS NUE) IL Mo ee. 2 20710050 TES ENIN US) 


Mon adresse a bien changé ! 


Nous allons maintenant modifier la table de routage. Pour cela, la commande est encore route, à utiliser avec des options. 
Par exemple, nous allons enlever notre route par défaut, et la changer pour 10.0.0.254 vu que nous avons déjà changé notre 


adresse IP. 


Code : Console 


Sd se rOutre 
sd-6555:-# route 


del default 
Alle LATE MO OO 7 


SCRÉSSSRS SN FOUEEL = 

Table de routage IP du noyau 

Destination Passerelle Genmask ICONE LETONRES Use Iface 
FOMOTOPmE CARO 25 CEE 26e 0 (8 0 0 0 eth0 
QE A0) l'ONU 0257 CAOUMUAO UG 0 0 0 eth0 


Nous pouvons même ajouter une route spécifique s1 nous le souhaitons pour aller vers le réseau 192.168.0.0/24 en passant par la 
passerelle 10.0.0.253 : 


Code : Console 


dc sr route cdner al CARRE ETAas Rs 77572 0 OST OR 2 
SOS RrOUreNen 
Table de routage IP du noyau 


DÉS tination Passerelle Genmask Indic Metric Ref Use Iface 
CAO AO AC CRAN CEN QE 0) DÉS Eee A0) U 0 0 0 eth0 
SP ENRS SEA) ROMÉMORZSS PASS ES 7 ee 0) U 0 0 0 eth0 
OPA ED EC) 10e 0257 CROP OPNE UG 0 0 0 eth0O 


Vus savez maintenant modifier l'adressage et la table de routage d'une machine Linux, nous allons pouvoir passer au premier TP 


a 





Étape 2, mise en place de notre architecture 


Un premier réseau simple 
Nous allons mettre en place dans un premier temps un réseau très simple. Il sera constitué de deuxréseauxreliés entre eux par un 


routeur. 
ici à la figure suivante le schéma logique. 
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Machine virtuelle 1 


192.168.10.0/24 


| Routeur 1 (machine virtuelle 3) 


192.168.11.0/24 


Machine virtuelle 2 


Nous allons donc créer trois machines virtuelles sous Linux. Les deux premières vont jouer le rôle de machines clientes, la 
troisième jouant le rôle de routeur entre les deuxréseaux 


Création des machines virtuelles 


Prérequis : il vous faudra pour être tranquille 30 Go de disque dur pour installer les machines virtuelles. Un minimum de 2 Go de 
RAM serait bien également. 


S1 vous n'êtes pas habitués à utiliser des machines virtuelles, vous allez voir, c'est très simple. 
Le principe est de faire tourner une ou plusieurs machines en parallèle de votre machine principale. Amsi vous pouvez avoir un 


Windows installé sur votre machine, et un Linux qui tourne en même temps en tant que machine virtuelle. 


Par exemple, je fais tourner un Windows XP pro sur mon Mac et je peux travailler sur les deux en parallèle (voir la figure 
suivante). 
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: [4 VMware Fusion Fichier Édition Présentation Machine virtuelle Fenêtre 






Q 5 © © BE... 


=) Windows XP Pro 


(ID & EF EL : 


interrompre Prendre un snapshot Restaurer Réglages Unity Plein écran 


















2) GS) 02 
1e (a a] [ne 
Ænldn)-||l= “LICE UMste Sphere Poste tde (travail 
“liant + 
DS IIENE Ft 1 
à = D 
ACCUe a) Ld M, | 
septe.. SFHEAgNNOCEsS =iMUlStEUr SOOOlGNrOmME 
Modeler 
Mlcencenl'iate DÉFTIETS DGA SSI 


RTE 


recrutemm = 
nil S 


Skype Simulateur SimulateurMo.. 







LED 


— 


Fes 


_ ee. sr 1) Connexion au réseau local est maintenant connecté 
#userprofile fichiers-arlexml : 


Witesse : 1,0 Gbitsjs 
















‘2 déMAFTEr. © CHWINDOWSIsyste... 





Pour une entrée directe vers cette machine virtuelle, cliquez dans là fenêtre ou appuyez sur #-G.  E Ed © <> 4) @ 





el > 
0 RTF nas TXT 


1 
COUT CTÉ AT OL nn tete 4 


Je vais considérer que vous êtes sous Windows, mais de toute façon, l'installation est possible sous Mac OS ainsi que sous 
Linux. 


Nous allons donc installer un programme qui nous permet de virtualiser des machines, il s'agit de | 
Vus pouvezaussi choisir vmware ou VirtualPC pour virtualiser s1 vous y êtes habitués, mais les manipulations seront faites 
sous Vrtualbox dans ce TP. 


Allez télécharger et installez-la. L'mstallation est très simple, 1l suffit de cliquer sur next à 
chaque étape. C2 


Avant de créer notre première machine virtuelle, nous allons voir qu'il y a plusieurs façons de les créer. 

La première est celle que vous utilisez habituellement pour installer des machines, c'est-à-dire récupérer une image disque du 
système d'exploitation à installer, la graver sur un CD ou un DVD, puis insérer le CD ou le DVD dans le lecteur pour commencer 
l'installation en redémarrant la machine. 

La seconde est plus simple et nous allons l'utiliser. Elle consiste à récupérer une image d'une machine déjà existante et à la copier 
directement dans Virtualbox. 


Pour cela, je vous propose de télécharger 


Positionnez ce fichier .vd1 dans un répertoire que nous allons appeler... répertoire ! Lancez Virtualbox; vous devriez voir 
apparaître une fenêtre semblable à la figure suivante. 
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FF p ? # 
De ep > (Eù] instantanés 


Mouvelle Configuration Afficher Oublier 





[=] Général [|] Prévisualisation 
— En fonction 

Mom : DebianQ 1 

Système d'exploitation : Debian 


Système 


Mémoire vive : 384 Mo 
Ordre d'amorçage : Disque CO/DVD, Disquette, Disque dur 


Affichage 
Mémoire vidéo : 12 Mo 
Serveur bureau distant: Désactivé 


(1 Stockage 


Contrôleur : IDE 

Maître secondaire ICE : [CD/DVD] Lecteur de l'hôte « D: » 
Contrôleur : SATA 

Port SATA 0 : Debian01.vdi (Normal, 4,98 Gio) 


> Son 


Pilote hôte : Windows DirectSound 
Contrôleur : ICH AC97 


=ù Réseau 





Image Virtualbox 


A\ Ici, j'ai déjà une machine Debian, mais la vôtre arrive bientôt (5) 


Nous allons maintenant créer trois machines virtuelles à partir de notre image. 


Pour cela, cliquez sur New, ou Nouveau. Cliquez sur Suivant, puis donnez un nom à votre machine virtuelle, par exemple 
Debian01. Choisissez Linux Debian comme système. Mettez 256 Mo comme mémoire (on n'a pas besoin de plus en 
environnement graphique !). 


Ensuite, choisissezun disque existant puis Ajouter et allez pointer sur votre fichier Debian01.vdi dans le répertoire 
choisi. 
Choisissez ce disque et chquez sur Suivant. Wtre Debian est installée et prête à l'emploi. 


Avant d'aller plus loi, essayez de la démarrer en cliquant dessus puis Lancer. Normalement tout se lance tout seul et la 
machine boot. us devriez vous retrouver devant l'invite de login. Le login est root et le mot de passe est siteduzero. 


S1 vous obtenez un prompt : RIRES c'est gagné ! Vous pouvez mamtenant arrêter cette machine avec la commande 


EX] 


Nous allons maintenant dupliquer notre machine Debian pour avoir plusieurs machines virtuelles et faire du réseau entre elles. 


Pour la dupliquer, ou la cloner, nous allons utiliser la fonction de clonage qui est disponible directement dans Virtualbox. Faites 
un clic droit sur votre machine virtuelle et choisissez cloner. Choisissez le nom de votre clone, par exemple Debian02, et 
sélectionnezréinitialisez l'adresse MAC de toutes les cartes réseau. Sélectionnez 

Clone intégral,et cliquezenfin sur Cloner. 


Refaites la même opération pour Debian03, et hop, vos trois machines virtuelles sont prêtes ! 





EE Il est normal que les images n'aient pas la même taille, c'est un mystère de Virtualbox. 
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Ilne vous reste qu'à refaire les étapes de création des machines virtuelles. Wus devriez mamtenant avoir vos trois machines 
virtuelles prêtes à l'emploi, comme mdiqué en figure suivante. 





Ÿ’ Oracle VM VirtualBox -- Gestionnaire de machines LS ME 
Fichier Machine ide 


D “er | SD Détails | (Gi) Instantanés 


Configuration Afficher Oublier 


Bouba 
(@) Éteinte e LRU 


Contrôleur IDE 
Oracle Maître secondaire IDE (CD/DVD): Vide 
(@) Éteinte Contrôleur SATA 
Port SATA À : Cebian0é, vdi Hormal, 3,92 Gioi 


veS1 
(Q) Éteinte de son 


Pilote hôte : Windows GirectSound 
DebianO1 Contrôleur : ICH 497 


En foncé 
sm} Réseau 


Debian03 Carte 1 : Intel PRO/1000 MT Gesktop {Pont avec l'interface Intel(R WiFi Link 5300 AGN 
En FoncÉEN ) 


Debian0O2 4 USE 


Ên FONCÉ ON 
Filtres : 0 (0 actif} 


Dossiers partagés 


AAC LT 


© Description 


ACT 





Il nous reste juste à configurer le réseau. Pour cela, allez dans l'nterface de Virtualbox, et pour chacune des 3 machmes double- 
cliquez sur réseau, dans la colonne de droite (voir la figure suivante). 
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Ÿ Oracle VM VirtualBox -- Gestionnaire de machines = 
Fichier Machine Aide 


EX) 





ns > “or | {eh Détails | Instantanés 


Configuration Afficher Oublier 


Bouba 
(@) Éteinte (3 Stockage 
Contrôleur IDE 
Oracle Maitre secondaire IDE (CDiDvDO}: vide 
(@) Éteinte Contrôleur SATA 
Port SATA À : Cebiangé, vdi Hormal, 3,92 Gioi 


vBS1l | 
(QD) Éteinte de son 

Pilote hôte : Windows DirectSound 
DebianO1 Contrôleur : ICH 4C97 


Ch En fancéian | 


Debian03 Carte 1 : Intel PRO/1000 MT Gesktop {Pont avec l'interface Intel(R WiFi Link 5300 AGN 
ob En fancéian ) 


Debian0O2 4 USE 


En FancÉ ON 
Filtres : 0 (0 actif} 


Dossiers partagés 


AAC LT 


© Description 


ACL 





Puis choisissez Accès par pont et mdiquez la carte réseau qui est connectée à Internet sur votre machine (s1 jamais vous avez 
une carte wifi et une carte réseau filaire). Dans mon cas, j'ai mdiqué la carte wifi (voir la figure suivante). 
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€ Debian03 - Paramètres 


Général Réseau 


Système 


Affichage | Cartel | Carte2 Carte 3 Carte à 





SEC ETHNETIC 


Stockage Activer la carte réseau 


Son | " “ | " Le | 
| Mode d'accès réseau: |Accés par pont w | 
- ——! 


Réseau - 
Morn : (InteléR WiFi Link 5300 LS 














Ports séries 
+ Avancé 
LISE 








Type de carte : |Intel PRO/1000 MT Desktop (82540EM) 








Dossiers partagés 








Adresse MAC : d002757C019 

















Cäble branché 


Redirection de parts 





Chcieerer Lie cafégore 3 conéouer dans 3 fre sur 3 gauche ef ééocer le poñeur de 3 sourir 
au-dereur d'un dément pour Qbéen or DOTÉ ONE. 








Nous sommes OK pour le réseau. Démarrez les trois machines virtuelles et connectez-vous à chacune d'entre elles avec le login 
indiqué plus haut. 


Réalisation du TP 


Nous connaissons déjà la commande i fcon fig qui permet de voir sa configuration réseau et de changer son adresse. 
Faites un i fconfig et vérifiez que vous avez bien les cartes eth0 et lo. 


À 


Pour la suite du TP, je considérerai que c'est eth0 qui fonctionne, vous le remplacerez s1 nécessaire. 


Il est possible que Virtualbox ait renommé eth0 en eth1 ou ethx. Si jamais vous ne voyez pas eth0, essayez de faire la 
commande suivante en faisant varierx:ifconfig ethx up. Dès que vous voyez deux interfaces réseau ethxet lo, 
c'est bon ! 





Commençons le TP. Donnezles adresses suivantes aux machines : 


e 192.168.10.1/24 à la machine 1 ; 
e 192.168.10.254/24 à la machine 2 ; 
e 192.168.11.1/24 à la machine 3. 


Solution 
Sur Debian 01 : 
1ifconfig eth0 192.168.10.1 netmask 255.255.255.0 





Sur Debian 02 : 
1ifconfig eth0 192.168.10.254 netmask 255.255.255.0 
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116/220 





Sur Debian 03 : 





1ifconfig eth0 192.168.11.1 netmask 255.255.255.0 


Essayez mamtenant de pinguer la machine Debian02 depuis la machine Debian01, que se passe-t-il ? 


Solution 


Code : Console 


debian01: 
PINCG 1927 


D rincl e or. 
LES AO 2S2MNLS 2, 
ee Cale 2 MINES PRO) 
MÉONMMIO MES 0 
Promis 2e pe Slt 


ro257 
PEUR PRES eMP D NE RC reader. 


204 
254 
ras le 


1 Gios SÉCENNTTETIEGANE MES SALE NN 
1Eies SEC, CLIS TN EirneeÙ ZI ns 
HOMO CLIENT ire 128 


au Ce 102 7heinoe ec vb Plon 


3 packets transmibied, 


3 received, 0% packet loss, time 2006ms 


FL min /avg/max/mdevs— 00 1121/1442 1484/1245 me 


A Utilisez CTRLÆC pour arrêter le ping. 


On voit que le ping fonctionne. 


Essayez mamtenant de pinguer Debian03. 


Solution 


Code : Console 


debian01: 
PING 192. 
Hrommlo 2e 
Ie © MSIE 
ie CS 7e 


SA OM MAIO MES) 2 AMC CREME 

MESA ANNEES GO ee GE CE ree 
LEMONSECÉ 7 MDSSTITe TON HOEr DrreaclieRiLe 
LÉO SÈCÉS NDSSTITE ETONMMROELT res ehelie 
LENS SECE INDES IME ET ONMMOEr UT REeSelNeleIRE 


6 SEULE 
Ho EM 
6 SEAL 
POSER 


HHHEH 


Snndlo7 LC VS DinoMe tem MC Le 


5 packets transmitted, 


, pipe 3 


0 received, +3 errors, 100% packet loss, 


time 4003ms 


Ici, le ping ne marche pas. Et c'est bien normal, car les machines Debian0I et Debian03 ne sont pas dans le même réseau. Il n'y a 
pas de routeur pour relier les deux réseaux, donc cela ne peut pas marcher. 
Il nous faut ajouter une interface à la machine Debian02 dans le réseau de Debian03 pour relier les deux réseaux. 


Configuration du routeur 


C'est donc la machine Debian02 qui va jouer le rôle de routeur. 
La première chose à faire est de lui ajouter une adresse IP supplémentaire dans le réseau 192.168.11.0/24. 





© Mais nous n'avons qu'une carte réseau !? 


Ce n'est pas grave, car sous Linux, nous pouvons ajouter autant d'adresses que nous voulons à une interface réseau. 


Nous allons en fait créer une interface virtuelle eth0:0. 





1fconfig eth0:0 192.168.11.254 netmask 255.255.255.0 
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Nous avons mamntenant deux interfaces réseau avec chacune une adresse dans l'un des deuxréseaux. 


Code : Console 


décennie me ne) 
eth0 FirnkSencap:Eethernem/nracden0r0e:22" 6 es :6s 
men tace. 1197 "MS MIO ANSE es r SACS PROS Mu 252-2255 70 
adr inet6: fe80::20c:29ff:fe61:e868/64 Scope:Lien 
DÉNÉROT DER RS EUNNINCRMUERreS TS NITU- ES OMS EETEC EN 
Fépacketr- MOIS Sr rorsS DMaroscedr 0e Ve reuns 0e rames tt 
PMpackets 5757472 herrorS DR ropped lo vemeuns 0N0ernrerrs 0 
C'ONMPAEMÉOINS ONCE rate tu SA2@7e002 MONO 
RiAbytees "5 RONDS TS ME MOT D tr =: 207256 CAMES GC STE) 


ee 0 Éinkéenc:p'Ethernretnraddenn0e 0e: 2061 C 868 
PALAIS AM SRE AS tr O7 LC SSI NM Gue vs 52 250 
D'ÉMERCE DO SR UNINENCAMUMMIOS STATUS D'ONeMÉRErC el 


le Finkeencab BPoucilemiS etre 
one EN ace 0 0INeMaS Que: 7 Sr 000 
Are inerco 1/20 coperFore 
UENEOOPEACF FUNNINCMMRUEPEZ CA MErrRC El 
Rripackers 19214 rrors 0 ircbpedriNoverruns 0er ame "0 
Tébpackets 107 1MSrrors  0Norobped;- Decvereuns DR corrme m0 
COIMIMES SEC EME Mme Eté Sa Sn Sn C0 
Rkmbytres:1784S0N M6 M0 RP) Torres: 4764504167 20K 18) 


Nous sommes prêts à router... ou presque. 

En effet, pour l'instant, notre machine se comporte comme une simple machine et rejette les paquets quine sont pas destinés à 
sa propre adresse IP. Pour qu'elle se comporte comme un routeur, 1l faut activer le routage. Pour cela, c'est très simple, car il suffit 
de mettre 1 à la place de 0 dans un fichier : 





echo 1 > /proc/sys/net/ipv4/ip forward 


Et hop, notre machine est désormais un routeur ! 
Nous pouvons essayer de pinguer Debian03 depuis DebianO1. 


Code : Console 


CÉSAR Rare MINS 7 APE CRAMIENR 

DANCE AIRC SIA COS Z ARE MS CRD ee Cr etre 
rom SZ ES MIN EM SEC? PES EME TION Host Imreache ble 
Aron Z2EL68 ES MS IMMETONSECE NES tETINECTrOMMMROsST Drreaches ble 
Ron A2 ESS US IN REOMOR SEE INDES EME CTOM ROST DreaChe le 


HHHH 


rm 02 166 NME To RS tr Er ECC 
SPpacketsNrransmieted 0er received Ars sérrors 000 packesMosSsS Crime 400 5ms 
HNONOE SE 


Oups ! Ça ne fonctionne pas... 


C'est normal, car pour l'instant, la machine Debian01 ne sait pas qu'il faut envoyer ses paquets à Debian0O2. 
Nous devons mettre une route dans sa table de routage pour que cela fonctionne. Vu que notre réseau est très simple, nous 
pouvons lui mettre une route par défaut. Regardons sa table de routage, puis ajoutons une route par défaut : 


Code : Console 


debrantie route n 

Table de routage IP du noyau 

Destination Passerelle Genmask MAO MeONMÉLLTIONRESE Use Iface 
IROSPEMRE SE AR) NC) C'EOAC EC) 5 2552560 U 0 0 0 eth0 
debian0l:-#f route add default gw 192.168.10.2354 
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Table de routage IP du noyau 


Destination Passerelle Genmask lndictMeltric'Reï Use Iface 
LOZERE SR DU0 DENON) PAS ER 0 Se er ete rt U O0 O0 0 eth0 
CAORO PC ONE SE TOR 71 ORAOPACRE UG O0 O0 0 eth0 


Et mamtenant, c'est sûr, le ping va marcher ! 


Code : Console 


een 0 te ARS ARE SIA 

PNR eUIRE SPITZ AIRE SIMS CSS ETC eS CN de br 

ie 

mm 0e doc APR Sr SNS Eute eic Ne 

5 packets transmitted, 0 received, +3 errors, 100% packet loss, time 4003ms 
ANDLDENS 


Ça ne marche toujours pas... Pourtant la machine Debian01 sait à qu11l faut envoyer les paquets pour jomdre Debian03 ! 


© Avez-vous une idée de ce quise passe ? 


En fait, la machine Debian01 fait bien son boulot, sa table de routage lui dit que pour joindre le réseau 192.168.11.0/24, 1l faut 
passer par la route par défaut, et elle peut le faire. Elle envoie donc son paquet au routeur Debian02 192.168.10.254. Debian02 
reçoit le paquet, voit en couche 2 son adresse MAC, lit l'adresse IP destination en couche 3 et voit que le paquet n'est pas pour 
elle. Vu que le routage est activé, elle va voir dans sa table de routage à qui elle doit l'envoyer. 

Elle voit que 192.168.11.1 appartient à son propre réseau, elle fait donc une requête ARP et peut envoyer sa trame à 192.168.11.1. 
Jusqu'ici tout roule. 





192.168.11.1 reçoit le ping ! 
Mais par contre, sa table de routage ne possédant pas de route par défaut, il ne sait pas renvoyer la réponse... 
La machine DebianOI ne reçoit donc jamais de réponse. 


Nous pouvons le vérifier grâce à la commande {cpdump. 

Tcpdump est un sniffer. C'est un programme qui est capable d'écouter toutes les trames qui arrivent sur notre carte réseau et 
de nous les afficher à l'écran. Nous allons successivement utiliser le sniffer sur Debian01, Debian02 sur l'nterface eth0, Debian02 
sur l'nterface eth0:0 et enfin Debian03. 


Code : Console 


debian Ccpdume Ne three 

LCbduMbpi Ave DOS EN OULRUE M EUPOrS Sd Lu NO EN LOL UNS ro ocolImdeCcode 
listening on eth0, link-type ENIOMB (Ethernet), capture size 96 bytes 

SR SO ASC OST E A2 ALES ANOIR mIES 2 RPG SNERlTOMERE CNRS ereQue SermRES RE DRS ECM 
ESS RTE NGC NE NS 2 ER © Or PORC SIP NCMPeE ChoReeQue cruels Ré RSee2 
PERS OS DGSE MOMIE ENS 2085 CAO ENT O2 RS TIRE ETC MPRECheNRreQue re MrN IS PO TrRSeo 
SSI PS RAGE ES IE RS 2 Se Uno OPEN SM ECM ChoSreQuestr de hs ROUE 


V7 











[4] +) 


Ici, on voit que la machine Debian01 envoie bien les requêtes vers Debian03. 


Code : Console 


débrient CCE Net rire 

PODduib ver DOS OL EMEUPPrÉ Sd Nu Se OV LOU Dr or ocolMadeCcode 
listening on eth0, link-type ENIOMB (Ethernet), capture size 96 bytes 
IS 18 0 0e STE NRS SACS RO RS IC IRC SRE OMR HOME QueSt Res ee 
RES MAP COS PER OR EARES APOPIL ODA AP ECM SC hoNeeQue st PSS 0e 
IEC DAC ER HOME MP PP ARCS RO ODA ARDE REC MENSChoNeeQue tr OMIS SOS E 
IPS SES RGO CC IP ES EME SENIOR PONS MECS ho Neue St Nr MES RS OS e 


VESVEN 
EAN E 


Www.openclassrooms.com 























Partie 2 : Communiquer entre réseaux 119/220 
EI [») 
La machine Debian02 voit bien arriver les requêtes sur son interface eth0 (192.168.10.254). 

Code : Console 
debian rs rec bme RE TO0P0EEECNE 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on eth0, link-type ENIOMB (Ethernet), capture size 96 bytes 
PSS Se NS POP SN ARS 2 URSS NON AUS AS MI RC MIE ER OMR te SE MC MINS OS Een TR 
ESS SNS ENS CE PA TRES PIS SIREN ENS EG SE IIS NC MIRE OMR ER IUe SCPMLC MESURE SEC 77 
IS SSSR SOS OEM ORNE URSS MNOEUR EE NIS IE SP ES SR CMP SE OMRERUTE SC TC ONE ERNST 
IPS SE SENS ORNE ONE MIS ZM SSI TI ETS RE SOMME ETC MEME MECUeS LE ATOME Omer 
1 ») 
Elle voit même les requêtes ressortir de son interface eth0:0. 
Code : Console 
debian03:-# tcpdump -i eth0 icmp 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on eth0, link-type ENIOMB (Ethernet), capture size 96 bytes 
1ESAS Se SNS OMS IP ES 2 IIS MO EI TS 2 RO SE IRIS RC MIS OR EC te SC TON IS URSS OUMESE CN 
ESS OS ENS OC PME EME MIS SUN ES ENS IR SOMMES SCIE EST O RER SE te MESRINE 7 
IIS SG SONGS OMR MARS SE AO NO ZE TOI CMP SON OMMETES TC TC MIS OMS SC 
IPS SG SI COS ON AE 2 URSS EUROS NEC ES IN NRC MRECUE SCT CMIISMIS ONE SEC 
EI ») 
Et la machine Debian03 voit bien arriver les requêtes sur son interface eth0, mais aucune réponse ne ressort. 
Ce problème est très connu sous le nom de problème de la route de retour. 
Souvent les personnes pensent à configurer l'envoi des mformations, mais ne pensent pas au retour. 
Il faut donc ajouter une route par défaut à Debian03. 
Code : Console 
debian tS SP roure ten 
Table de routage IP du noyau 
Destination Passerelle Genmask Indic Metric Ref Use ITface 
IS ARE EEE, DAOPOC HS EN AE S A0) U 0 0 eth0 
debiants route acide tre uno 26e M2, 2 
Tab lé routage TE duo ya 
Destination Passerelle Genmask Indic Metric Ref Use ITface 
OPA S AA GROEO ENO LE SIZE Se Et) U 0 0 eth0 
AU A0EU PEER Lt 2/71 AO SOA UG 0 0 OPEL 
Et mamtenant notre ping. fonctionne ! 
Et nous pouvons le voir avec écpdump : 
Code : Console 
ÉRenE SC LotMmeN ME ChOMEeNE 
PéDOAMEr Ver DOS MOULE Up US Or MVNO EU MIN Oo OocoImieeote 
listening on eth0, link-type ENIOMB (Ethernet), capture size 96 bytes 
IPS Or Cr OS ERP ER ARCS NOIR CS MER ICMEREChosreqQues RP on IS EC UASS EC 


RSS ee 0 UE PE NERO 2 ALES ARS 102 060 RU SEC MENe CRC eee 
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PSS CAC CSST SPP PRO ECS PASS RCE SOI SECOURS GReRÉCDIE  ARC RS RE OR ec 2/21 
SSI SORT OT 2 60 ALORS APS RC SN STCMESE he Request MORE URSS; 
ESS Se SONG SET ANR CURSEUR OI SO EME UE COR CI SECTE CU PRES SE il 
SSI SES GS CO SENS ASS LOS AIO RS PME STONE cho RÉeCUe SACS FOURS e 
SD ORNE CO SO TS RER RO ARCS MEN IRC ARCS AMROPEMRONTERES MORE SAN SR AIS RO OP 007701 
RSS 6e 2266 SIC CRE ROZ IRC SAROMS AO ENS ARMES TOME cho Meequese Arms CUP RSeGS 
PERS ÈS 20 RSS MIE 2 URSS OURS 0 NES RO ENTRE MIE COS QUI ue SRE CORRE GS oil 
EI ) 
On voit bien ici les requêtes de DebianOI et les réponses de Debian0O2. 
Code : Console 

débile to nono PE Ce 

BANC MES RC SM MERS UIES RSS ME NS CARS NI AE SNS EE et 

OU ONTE SR ROMA NS AIM ENT Ten SEC EIRE DIS SUN Lines Sn Te 

GUMONVTÉS MIT OM SC MENTON SEC Se METIER EE Te 2 re 

OAMIONTEE SE CM MIS NME CNT SEC AEUIECEN Lt O2 SNS 

aie 


So 2 US O2 SMS CS re vis Eucee— 


3 packets-trransmitteo, 
rtt min/avg/max/mdev — 





3 rece 
CS 


Que faut-il en retenir ? 


ived, 0% packet loss, 
1 10202 SNS AV AUS ns 


time 2006ms 


e Il faut toujours penser qu'on ne peut jomdre une machine QUE si le routage fonctionne dans les DEUX S ENS. 
e Ilest souvent mtéressant d'écrire les tables de routage sur papier avant de mettre en place une infrastructure pour éviter 
que cela ne fonctionne pas, une fois mis en place. 


Ça y est, nous avons mis en place notre premier réseau routé ! 


Étape 3, pour ceux qui le souhaitent 


Il s'agit de mettre en place le gros réseau que nous avions étudié (voir la figure suivante). Je ne vais pas refaire ce TP avec vous, 
vous avez maintenant toutes les informations nécessaires pour le réaliser. 
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121/220 





10.0.10.0/f24 
34 






3 — 
Re | Routeur 2 
dl 
192.1686.1 0.0/2 4 k 
254 
| Routeur 1 
TT 
[ 254 
192.168.1 1.0f24 
2 à 









m0.0.11.0/24 





Création des machines 


Vus avez déjà trois machines créées. Pour réaliser cette architecture, vous en aurez besoin de 5 en plus (4 routeurs et une 
machine par réseau). Créez les machines comme nous l'avons fait précédemment. 


Écriture des tables de routage 
Écrivez toutes les tables de routage de toutes les machines du réseau sur papier. 
Configuration 


Mettez en place la configuration IP de toutes les machines ainsi que le routage tel que vous l'avez écrit sur papier. 


Â\ Attention, les routes pour les réseaux auxquels vous êtes connectés sont déjà créées. 


Pour créer une route qui ne soit pas une route par défaut, donc pour un réseau spécifique, la syntaxe est : 
route add -net 192.168.10.0 netmask 255.255.255.0 gw 192.168.11.254 





Et pour enlever une route : 
route del -net 192.168.10.0 netmask 255.255.255.0 
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Tests 


Pour tester votre réseau, vous avez bien sûr la commande ping, mais auss1 traceroute ou tcpdump. 
Utiisez-les pour comprendre d'où peut venir un éventuel problème. 


Vus maîtrisez le protocole IP (ou du moins une partie). 

Vous savez ce qu'est le routage. 

Vus savez connecter des réseaux entre eux. 

Vus savez configurer l'adresse de machines sous Windows et Linux. 
Vus savez configurer le routage sous Linux. 


Nous connaissons mamtenant bien le protocole IP, mais nous allons voir qu'il existe d'autres protocoles pour la couche 3... 
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Les autres protocoles 


Nous avons vu comment les paquets circulaient d'un réseau à un autre et comment ils étaient aiguillés. Nous avons aussi vu 
avec la couche 2 comment les paquets circulaient au sein d'un même réseau. 


Ÿ a-t-il un lien entre la couche 2 et la couche 3 ? Par ailleurs, IP est-il le seul protocole de couche 3 utilisé aujourd'hui ? 
Nous allons maintenant nous pencher sur ces questions, et y apporter des réponses ! {22 


Le protocole ARP 
Pourquoi encore un protocole ? 





Vus allez vite le comprendre ! Prenons le schéma de la figure suivante. 





192.166.0.0/24 
294 





Routeur 1 


254 


192.168.1.0/24 





Imaginons que la machine 192.168.0.1 veuille envoyer un message à la machine 192.168.1.2. 


Nous allons reconstituer son raisonnement. 

Lors d'un envoi de message, nous traversons les couches du modèle OSI de la couche application vers la couche réseau. 

Nous traversons donc la couche 7, puis la couche 4, et enfin la couche 3 que nous connaissons maintenant. 

La couche 3 voit que nous voulons envoyer un paquet à la machine 192.168.1.2. Elle va donc chercher dans sa table de routage 
par qui il faut passer pour envoyer ce message. 
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192.168.0.0/24 192.168.0.1 


192.168.1.0/24 192.168.0.254 





Il est clairement ndiqué que nous devons passer par la passerelle 192.168.0.254 pour jomdre le réseau 192.168.1.0/24 qui contient 
l'adresse que l'on veut joindre. Notre machine sait donc qu'il va falloir envoyer le paquet à 192.168.0.254. 

La machine 192.168.0.254 est sur notre réseau, donc pour lui envoyer la trame nous devons connaître son adresse MAC. Or, 
nous ne la connaissons pas... 





© Comment faire pour connaître l'adresse MAC de 192.168.0.254 ? 


Il faudrait pouvoir la lui demander, mais pour lui demander il faudrait connaître son adresse MAC, et pour connaître son adresse 
MAC il faudrait la lui demander... c'est une fois de plus l'histoire de la poule et de l’œuf. 


Mais il y a une solution : le protocole ARP ! 


Le protocole ARP 


© Comment faire pour envoyer un message à une machine sur notre réseau sans connaître son adresse MAC ? 


Si vous vous rappelez bien, nous avons vu quelque chose qui nous le permettait. il s'agit de l'adresse de broadcast ! 


Nous pouvons envoyer un message à l'adresse de broadcast en demandant "est-ce que 192.168.0.254 peut m'envoyer son 
adresse MAC ?" 

Grâce à l'adresse de broadcast ce message sera envoyé à tout le monde, et donc 192.168.0.254 le recevra et pourra nous renvoyer 
son adresse MAC. 

C'est ce que l'on appelle une requête ARP ou aussi un broadcast ARP. 


Nous pourrons alors envoyer notre trame à la machine 192.168.0.254 qui, grâce à sa table de routage, pourra aiguiller notre 
message vers la destination 192.168.1.2. 


© ARP est donc un protocole qui permet d'associer une adresse MAC de couche 2 à une adresse IP de couche 3. 






© Mais les broadcasts ne risquent-ils pas de saturer le réseau à chaque fois que l'on veut envoyer une information ? 


Bien sûr, et c'est pour cela qu'un mécanisme complémentaire a été mis en place, la table ARP. 

La table ARP 
Pour éviter d'avoir à renvoyer en permanence des broadcasts ARP à chaque fois que l'on veut envoyer une mformation à une 
machine, nous allons utiliser une table qui va garder les associations adresses IP <-> Adresses MAC pendant un court moment. 
Ainsi, S1j'envoie un paquet à ma passerelle, Je noterai son adresse MAC dans ma table et la prochaine fois que je voudrai lui 
parler, je n'aurai plus à envoyer de broadcast sur le réseau. 
La table ARP va donc associer adresse IP et adresse MAC correspondante. 
ici un exemple de (grosse !) table ARP sous Unix: 


Code : Console 


# arp -an 

NUS CS EN MORE le MPG 7 MR SAINS ES ren 
NOR SES CS RETENIR E SSD SIRS Zl 
DNA SE ZE NE NEMUNENRS RS ER SC Ce SANS rs A 
MINES CESSE M = RME (ee 0720 Si SE lol oies 1e al 
MN OS CC NON NEA DOE Gen see Co Gin es dl 
MOSS SC CRI = MO Tan ECS SE 07 Ci re dl 
MTS SCC NE De en 20 rech se rod Gisusars a 
MON S CEMES Ne enDDrte 20r CARE ne 7 
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LAN MO SAS RS NE OO 0e PC MES RSS RS ES es il 
ATOS MONTRE EN NE MODES PONS CRE 0 Ie es es nil 
LAN HN) ES SNS RS SE MIO OS PA OS SES CTI Ses 7 
HOROSCOPE TR = Creme 20e dom 1 
DUIROMRS MECS EE 7 QUE MOTRICE MORE TS Ge ane sil 
LIN IRORS ARCS ONE MO SM Eee ns il 
LRO PNR OMS) RE C0 Se ROME NS SAS Al 
D PORS M NDORS AN = 2000-20 DC Dee ee Le 71 
DORURORS EMATIOMS SN) EC AU OT CI SC lo Ne) sens Al 
NOIRS NUE SC RE AMIE O re CS NRES GS Se E ns il 
OS NOIRE MO EL NOTE ER il 
RON ADOPTE mon 20e CT 2/70 te el 
INOTURS NS) MÉncomoleLe ons Est 

LCI PSS IN OR OO MS ES ESC SE RS CS te se) 
OO RC SMS Ra CAO OO AT SE NE TONNES ES URS ELLE 
MONO ARCS ES NS ineemeleLe RS ne rS 0 


On voit ici que ma machine dialogue avec beaucoup d'autres machines sur son réseau. Mais c'est normal puisqu'il s'agit de la 
passerelle de sortie de mon réseau. 


Ainsi, quand la passerelle voudra envoyer un paquet à l'adresse 10.8.100.41, elle connaîtra directement son adresse MAC. 


Mais s1 jamais Je change la carte réseau de ma machine ? Elle changera aussi d'adresse MAC, mais ce sera l'ancienne 
qui sera indiquée dans la table ? 





Non, car les mformations contenues dans la table ARP ont une durée de vie limitée. En gros, une valeur va rester environ deux 
minutes dans la table avant d'être effacée s'il n'y a pas eu de dialogue avec cette adresse entre-temps. C'est pour cela que l'on dit 
que la table ARP est dynamique . Elle évolue au cours du temps en fonction des machines avec lesquelles je dialogue. 


La commande sous Unix pour voir sa table A RP est arp -an ; elle est arp-a sous Windows. 
Bien sûr vous risquez de voir peu de chose chez vous s'il n'y a que deux ou trois machines sur votre réseau. 


Déroulement de À à Z d'une requête ARP 


Reprenons l'exemple précédent : nous sommes la machine 192.168.0.1 et voulons envoyer un message à la machine 192.168.1.2. 
Nous savons que nous voulons joindre d'abord le routeur 192.168.0.254, mais ne connaissons pas son adresse MAC. 
C'est là que le protocole ARP entre en jeu : 


e on regarde d'abord dans la table ARP locale s1 on possède l'association entre l'adresse IP 192.168.0.254 et son adresse 
MAC ; 

s1 on la possède, on envoie l'information et c'est terminé ; 

sinon, on envoie un broadcast ARP sur le réseau ; 

la machine 192.168.0.254 va nous répondre avec son adresse MAC ; 

nous allons noter cette adresse MAC dans notre table ARP ; 

nous allons enfin pouvoir envoyer notre information. 


Nous savons mamtenant comment font les machines pour passer d'une adresse IP à joindre à l'adresse MAC correspondante : 
grâce au protocole ARP ! 





© Mais à quelle couche appartient ce protocole : 2 ou 3 ? 


Je vous laisse chercher tout seul, vous faire votre idée, puis lire la réponse... f- 





Secret (cliquez pour afficher) 


Le protocole A RP est un protocole de couche... 2 ET 3! 
Oui, 1l manipule des mformations de couche 2, les adresses MAC, et des mformations de couche 3, les adresses IP. Ainsi, on 
dit que ce protocole est "à cheval" entre ces deux couches. 


Mantenant que nous connaissons ce protocole et son utilité, nous allons revoir de A à Z une communication entre deux 
machines. 


Récapitulons tout cela ! 
Nous allons une fois de plus reprendre l'exemple précédent entre la machine 192.168.0.1 et 192.168.1.2 (voir la figure suivante), et 
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imaginer que la machine 192.168.0.1 veuille faire une requête web vers la machine 192.168.1.2. 





192.168.0.0/24 
294 






Routeur 1 


294 


192.168.1.0/24 





Détail de la communication 


Étape 1, la machine locale 


Comme nous l'avons vu précédemment, notre mformation va traverser les différentes couches du modèle OSI (voir la figure 
suivante). 
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f |! application 





6 | présentation 


_ transport Bonjour 


| liaison de 
données 


Fi 


Lu 





DETTE Le 


En 


Une fois au niveau de la couche 3, nous regardons alors la table de routage, et savons qu'il faut envoyer le paquet à 
192.168.0.254 pour sortir de notre réseau. Nous faisons une requête A RP et obtenons l'adresse MAC de 192.168.0.254,. 


Nous pouvons mamtenant former la trame qui va circuler sur le réseau : 


@MAC 192.168.0.254 | @MAC 192.168.0.1 IP SRC: 192.168.0.1 | IP DST: 192.168.1.2 


! Nous avons bien mis l'adresse 192.168.1.2 en adresse IP de destination, car si nous avions mis l'adresse du routeur 





192.168.0.254, d'une part le routeur aurait cru que le paquet lui était destiné, et d'autre part il ne serait nulle part indiqué 
dans la trame que l'information était destinée à la machine 192.168.1.2. 


Notre trame peut donc maintenant sortir sur notre câble ! 
Étape 2, le switch 


La première machine qui va la recevoir est... le switch du réseau 192.168.0.0/24,. 


Il reçoit la trame et lit l'adresse MAC de destination. 
Il va voir sa table CAM pour savoir s'il connaît cette adresse MAC, et voir sur lequel de ses ports 1l faut renvoyer la trame. 


S1 jamais il ne trouve pas l'adresse MAC, il la renverra sur tous ses ports actifs ! 
Il peut donc maintenant renvoyer la trame sur son port de sortie, qui est connecté au routeur. Le routeur reçoit la trame. 


Étape 3, le routeur 
La trame arrive à la couche 2 du routeur qui lit l'adresse MAC de destination. 
C'est la sienne ! Il va donc finir de lire l'en-tête de couche 2, enlever l'en-tête Ethernet et envoyer le datagramme IP qu'il reste, au 
protocole de couche 3 indiqué dans l'en-tête. 
La couche 3 va lire tout l'en-tête de couche 3, et notamment l'adresse IP de destination. 


Le routeur voit alors que ce n'est pas son adresse, il sait donc qu'il va devoir renvoyer ce datagramme vers la machine de 
destination. 
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Il va donc chercher dans sa table de routage à quelle passerelle envoyer le paquet afin de joindre la machine 192.168.1.2. 
Cette adresse appartient à l'un de ses propres réseaux, il va donc pouvoir lui envoyer le paquet directement. 
Cependant, pour envoyer la trame sur le réseau, il va avoir besoin de l'adresse MAC de 192.168.1.2. Il va donc faire une requête 


ARP. 
Une fois l'adresse MAC de 192.168.1.2 reçue, 1l va pouvoir former la trame et l'envoyer sur le réseau. 


@MAC 192.168.1.2 | @MAC 192.168.2.254 IP SRC: 192.168.0.1 | IP DST: 192.168.1.2 


On remarque ici que seules les mformations de couche 2 ont été modifiées ! 





L'adresse MAC source n'est plus celle de la machine 192.168.0.1 mais celle du routeur. C'est normal, car les adresses 
MAC présentes sont obligatoirement celles du réseau sur lequel la trame est en train de circuler. 





La trame va donc sortir du routeur. 


Étape 4, le retour du switch 


La trame va arriver au switch, mais cette fois 1l s'agit du switch du réseau 192.168.1.0/24 qui n'est pas le même que le premier. 
Il va regarder l'adresse MAC de destination et aiguiller la trame vers la machine 192.168.1.2. 


Étape 5, réception par la machine 192.168.1.2 


La machine 192.168.1.2 va recevoir la trame en couche 2 et va lire l'adresse MAC de destination. 

C'est la sienne. Elle va donc lire la suite de l'en-tête et renvoyer le datagramme contenu dans la trame à la couche 3, c'est-à-dire au 
protocole IP. 

La couche 3 reçoit le datagramme et lit l'en-tête. 

L'adresse IP de destination est la sienne, elle va donc envoyer les mformations à la couche 4, qui va elle-même envoyer les 
informations à la couche 7 applicative. 


Et le message est enfin reçu, ouf! {77 





Nous avons vu une partie seulement des étapes d'un dialogue entre deux machines sur un réseau. Nous verrons plus tard qu'il y 
a de nombreuses autres étapes. Et dire que tout cela se passe en quelques millisecondes ! 


Maintenant que nous avons compris comment se déroulait un dialogue sur un réseau local ET entre réseaux, nous allons 
pouvoir commencer à faire des choses intéressantes, et notamment jouer les apprentis pirates. 
Mise en pratique : écouter le voisin 


ici un chapitre qui devrait vous plaire, on commence à utiliser les connaissances que l'on a acquises pour mettre en place des 
techniques originales. 

Nous allons essayer de réaliser une attaque réseau qui permet d'écouter le trafic d'une autre machine qui est connectée sur le 
même réseau que nous. 


Le principe 


L'attaque est basée sur le détournement du fonctionnement du protocole ARP. C'est pour cela qu'elle s'appelle du ARP cache 
poisonning. 
Nous allons en réalité modifier à distance la table ARP d'une autre machine... 


La théorie 


Dans le meilleur des mondes, une machine fait un broadcast A RP, et la machine destinataire répond en fournissant son adresse 
MAC. 
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© Mais que se passerait-il s1 Je décidais auss1 de répondre avec ma propre adresse MAC ? 


Eh bien ce serait la dernière réponse qui serait prise en compte. 


Par exemple, je peux tout à fait attendre de voir passer une requête ARP qui ne m'est pas destinée. J'attends deux secondes pour 
y répondre, et Je suis alors quasiment sûr que ce sera ma réponse qui sera prise en compte. Et s1 j'ai mis dans la réponse ma 
propre adresse MAC, ce sera mon adresse MAC qui sera associée à l'adresse IP de la machine destinataire de la requête dans 
la table ARP du demandeur. 


Prenons le schéma de la figure suivante comme exemple. 





192.168.0.0/24 


Nous avons trois machines d'adresses 192.168.0.1, 192.168.0.2 et 192.168.0.3. 


Imagmons que nous sommes la machine 192.168.0.2 et que nous voulions écouter le trafic envoyé entre 192.168.0.1 et 192.168.0.3. 
La machine 192.168.0.1 veut envoyer un message à la machine 192.168.0.3. Elle commence donc par envoyer un broadcast ARP 
afin de déterminer l'adresse MAC de 192.168.0.3. 

192.168.0.3 répond à la requête ARP (elle répond directement à la machine 192.168.0.1, elle n'a pas besoin d'envoyer son message 
en broadcast à tout le monde). Et nous décidons de répondre aussi deux secondes plus tard. 


En recevant la première réponse de 192.168.0.3, la machine 192.168.0.1 va mettre à jour sa table A RP : 


EURE | Adresse MAC 





192.168.0.3 | @MAC de 192.168.0.3 
Table ARP de 192.168.0.1 


Ce qui est tout à fait normal. 
Mais la machine 192.168.0.1 va recevoir une nouvelle réponse, celle que nous avons envoyée et qu'elle va prendre en compte ! 


Or, cette réponse associe, non pas l'adresse IP de 192.168.0.3 à l'adresse MAC de 192.168.0.3, mais à notre adresse MAC, celle de 
192.168.0.2. 


EURE | Adresse MAC 


192.168.0.3 | @MAC de 192.168.0.2 
Table ARP de 192.168.0.1 





Ainsi, désormais et jusqu'à ce que la table ARP soit mise à jour ou que la machine 192.168.0.3 ne lui envoie un paquet, la machine 
192.168.0.1 va nous envoyer ses paquets en pensant les envoyer à 192.168.0.3. 


Il ne nous reste plus qu'à faire la même attaque envers 192.168.0.3 pour modifier sa table ARP, pour pouvoir mtercepter tous les 
échanges entre ces deuxmachines ! 
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Amélioration de l'attaque 


Cependant, nous avons deux problèmes actuellement : 


e siune des machines réussit à envoyer une réponse ARP à l'autre après la nôtre, la table A RP sera remise à jour 
correctement et l'attaque ne fonctionnera plus ; 
e au bout d'un certaim temps, la table ARP se videra et l'attaque ne marchera plus. 


Mais il y a une solution ! Et c'est le fonctionnement de ARP qui nous l'offre. 


En fait, quand une machine reçoit une réponse ARP, même si elle n'a rien demandé, elle va prendre les mformations contenues 
dans cette réponse comme étant vahdes et plus à jour que celles qu'elle possède déjà. Ainsi, on ne sera pas obligés d'attendre 
une requête ARP pour répondre. 

On pourra "“"bombarder"' la machine destination de réponses ARP pour être sûrs que sa table n'est jamais correctement remise à 
jour. 


On sera sûrs alors de recevoir tout le trafic, tant que l'on fera durer l'attaque. 





© Tout cela est bien joli, mais comment on peut faire tout ça ? 


Eh bien, des outils existent, et nous permettent de le faire facilement. 
Mise en pratique 


Nous allons utiliser trois de nos machines virtuelles pour mettre en œuvre cette attaque. 
Maintenant que vous êtes à l'aise sous Linux pour modifier la configuration réseau de vos machines, donnez-leur les adresses du 
schéma précédent : 192.168.0.1, 192.168.0.2 et 192.168.0.3. 


Nous pouvons faire un ping de 192.168.0.1 vers 192.168.0.3 et regarder la table ARP de chacune de ces machines ensuite : 


Code : Console 


Clelouts in OMR Sato RO 2 GS A OSS 

PANNE NS PAIE SAONE ENS SA OR APS ECO NS SNS iete lie Se 
SUMIONCE SN Er CM I RE UE SN MEME SECEINT HER TE MES MIS 
SCMIONACE SN EE C9 RO SRE 2 ci NE hne 0 NE ne 
ie 

nn CO 0 Dino tort ee 

2 packets transmitted, 2 received, 0% packet loss, time 1006ms 
1e Ein SO es Moe a EN ONINON ANE IROURS IRAQ TS 
DISONS Le POUR SEEN Se 

PO 2 ARCS OS MER 00 0e 2er To NE Cher onre Eh 

NAS MRC 002 2006 0020 bb PC 2 SNS Reér Ponte ro 


Nous voyons ici que la machine 192.168.0.3 possède l'adresse MAC 00:0c:29:c6:49:27. 


Nous pouvons aussi regarder la table ARP de 192.168.0.3, car vu qu'elle a répondu à 192.168.0.1, elle possède son adresse MAC 
dans sa table : 


Code : Console 


debian203:-# arp -an 
LPO 2 NC A0 D AE 00e 00:20 26 1er CS MERE IROonseLno 
M9 2 16e 20025 De ED 02 - Lot 216 MP ther on etrho 
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Ainsi, nous voyons que la machine 192.168.0.1 possède l'adresse MAC 00:0c:29:61:e8:68. 
Maintenant, plaçons-nous sur la machine 192.168.0.2 et préparons l'attaque. 


Pour cela, nous allons avoir besoin d'un logiciel qui fabrique des paquets truqués pour nous. Il y en a plusieurs, nous allons faire 
cela à l'aide de arp-sk. 


Installation de arp-sk 





A S1 vous utilisez les machines virtuelles que je vous ai fournies, arp-sk est déjà pré-mstallé et vous pouvez sauter ce 
paragraphe. 


Sinon, pour ceux qui sont sous leur propre Debian, ça va être relativement simple, car 1l existe un package debian pour que 
l'installation soit facile (attention les Ubuntus, passez votre chemin, cela ne marchera pas...). Donc nous allons télécharger le 
package en ligne de commande à l'aide de la commande wget. 


Pour ceux qui sont sous Ubuntu et qui voudraient faire le TP, vous pouvezutiliser l'excellent outil scapy. Il faudra alors 
| un peu comprendre sa mise en place et son utilisation. ce quin'est pas une mince affaire. 





Retournons à nos machines sous Debian: 


Code : Console 


clear EN oies ne Cattiemors he CEE ere Se ae RO EAN ESS ENS rCIE 
nn D'ÉPSOSE COM UC SC Eee 7/7 deb ne © Eco ro eR ces er ere MOSS 
SSorMtiene nee telle 0 CARO A ES EN AO 

ConnerktonmerMdebien zormolub Cros EC Snrectre" 

requête HTTP transmise, en attente de la réponse...200 OK 

Fencuetr ee ONE) NE icon deb ie nm oachadel 

Scala) TON Eee SL MONTE ANS Se 6 Gels A 


2ONMLSUS LION ROC SONDE SNS ER ET SM ARS GE CAO I Screen 25 1680772 


délonens 2e et 


[4] +) 








Nous avons donc récupéré le fichier arp-sk 0.0.16-1 i386.deb. 
Comme son extension l'ndique, c'est un package debian. Pour l'installer, 1l suffit d'utiliser l'ancêtre d'apt qui est dpkg : 


Code : Console 


D'OISE AO S'ENORO NME I EE Se CNT PINS AN ASS 6 cles; SL 

lFÉcCrurendemiN Ne Send donnees MN CNE Cchrer Met rÉbErrormecatéJ ain AdMes 
PRÉ EbTONS ob Memo eMeNCNOeN EE oO SR UNIES INTENSE AE Et OS EN OA 

ls cell ne 

Dépaquetage de la mise à Jour de arp-sk 

Péramétregede ro Siem0 061) 

raitcementi des Clone ere MI IN DOUECNNAan done 





S1 jamais 1l manque des packages comme la libnetl, tapez EF ARREREERSERE RE ct 1l devrait vous mstaller tous 
les packages manquants. 
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Et hop, arp-sk est installé ! 
Regardons rapidement sa syntaxe en tapant simplement arp-sKk : 


Code : Console 


Core AMEN SNS SENS 
hp AVES HONOR AUS S2/0CRr02 007%) 
ltichor Mirederici ir ya bb cum be cr 


USSdgée ares k 


SU ao lists send à ARP Who-has 

= --reply send a ARP Reply 

mén- redonne] (bad) RARP emulation (NOT YET IMPLEMENTED) 
se Oise Man in the Middle (NOT YET IMPLEMENTED) 
Ce CEE din MP re MO mramelos re IMAC) 

—S —--src drole NM So rramel|hOosrb IMAC) 
rod NN set random addresses in link header 

rod Na der set random dst in link header 
—--rand-hwa-src set random src in link header 

De Sie cer dst in ARP message ([hostnamelhostip]l[:MACI]) 
DL PL ec Jen AR EbnmeS Sete iho name nos ie MO D) 
De Ce set random adresses in ARP message 

ronde arp se set random dst adresses in ARP message 
MONO TC set random src adresses in ARP message 


--rand-arp-hwa-dst set random dst MAC adress in ARP message 
Haine lOUeCS ENS Cr random ose dre SL rm RPEmess age 
—--rand-arp-hwa-src set random src MAC adress in ARP message 
nan airp lOgRsrc/set random sre TP'adress in AR? message 


Dire rrace specify interface (ethl) 

-C —--count TIC ICkRerEM OM Cod ne EE) 

He Cene wait the specified number of seconds between sending \ 
each packet (or X micro seconds with -T ux) 

ic iC tie randomize the sending period of the packets 

—-beep beeps for each packet sent 

-n --network broadcast address to use for 1icmp-timestamp 

Use ts AN ÉICMÉORLEMeSEIiMD PSS LoL res OIMENMACNEONTE 

-N --call-dns rorceR ttes eee rOnMNSOEebuESs UE res RO ir in) 

mb mr tie e-1O) Prnee LS on andNe rie 

poste PhiS ane Ron) 


Mise en œuvre de l'attaque 


Nous voyons rapidement que nous pouvons utiliser l'option -w pour envoyer une requête ARP et l'option -r pour envoyer une 
réponse ARP. Enfin, nous pouvons jouer sur les paramètres -s et -d pour modifier les adresses MAC source et destination et -S 


et -D pour les adresses IP source et destination. 


Sinous voulons envoyer notre premier paquet pour modifier la table ARP de 192.168.0.1, il faudra donc envoyer une trame dans 


laquelle l'adresse MAC source est la nôtre et l'adresse IP source est celle de 192.168.0.3. Ainsi, la machine 192.168.0.1 


associera dans sa table mon adresse MAC pour l'adresse IP de 192.168.0.3. 


Les options pour les adresses seront donc : 
-S 192.168.0.2 -d 192.168.0.1 -S 192.168.0.3 -D 192.168.0.1 


Nous pouvons essayer directement sur la machine : 


Code : Console 


Caesar DIRES SN ECO EMI TES AO 2 CRIS 2 RES TOI 
CS ARCS OR D ARS PE SRE SOI 
Linie lizartondorttrhepackeLesSriuerure 
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+ + + + + + + + 


Running mode " 


lfname: 


HÉNAastiarcie 


source 
source 
source 
lErCet, 
IE CEeTC 
Mere 


etho0 


MAC 00 


ARP MAC: 


ARP IP 
MACON 


ARP MAC: 


ARRETE 


reply" 


Deere) est) 
Horde 206 ee 70 
ISSUES 
“Del ES ro 

DORA ERA EURE REC 
ESS R ESS AC 


not er Cle CUS roue 
16% 20e LS 7e 
OO AO TZ SRE RSS RÉ RONA UOLOR ONE 28007 Mes CES 0E) 
ARR OormES 2 Re CROMNMIDD 02706 bee C0 
ROSES OS Mir Ne 0205 7b cer 710 


OS OMC EHTOMN AC = CIS ENG CUS 2 ENS CO 5 50e MAC e= IE 


Pour être sûrs que l'attaque fonctionne, je vous conseille de faire un ping de 192.168.0.1 vers 192.168.0.3 juste avant, pour que 
192.168.0.1 possède une entrée pour 192.168.0.3 dans sa table ARP. 


ici la table A RP de 192.168.0.1 juste avant l'attaque : 


Code : Console 


deb Uee RS re" 
(192166 05) 
MISES 002) 
HS LES 02 Mar 0026 bE 06216 ANTÉChEe tm onsecEt 


à 
° 
ê 


Et juste après : 


Code : Console 


AtrAUD DE 2 ec AO ME the None Env 
dt UD De 20: CMOS he AINoneecno 


debien 0 on 
OISE ESS AUS) 
(HR ZMRES 00802) 
IPS RC SO 257) ENDDr 2m bE 6-21 SM IN OnRecno 


É 
è 


ArMUU PF De 29 7e CA TONER INR nretho 
ar 00e 207 cl rhe men etho0 


On voit bien que l'adresse MAC associée à l'adresse IP de 192.168.0.3 a changé et qu'elle est maintenant la mienne. 


Amélioration de l'attaque 


Nous avions vu que, pour que l'attaque soit efficace, il faudrait bombar der la victime de réponses ARP. 
Avec arp-sk c'est facile à réaliser à l'aide de l'option -T. Nous allons envoyer dix réponses par seconde : 
6.192.166: 0.2 =d 192,168. 0416 =S, 192-:1608:0:3 





ere 


Vus pouvez voir que cela va mamtenant très vite ! 
De plus, 1l y a très peu de chances pour que 192.168.0.3 arrive à envoyer une réponse ARP qui écrase la nôtre. 





© Mais quel est l'intérêt de cette attaque ? 


Conséquences et objectifs de l'attaque 


Menez l'attaque et essayez d'envoyer un png de 192.168.0.1 à 192.168.0.3. 
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© Que se passe-t-il ? 


Il n'est plus possible de pmguer ! 


Code : Console 


clones 2 NES Net ae RC PS OS 

PNR POS RUE MURS NS S USE CMD Son tr 

de 

nn =. 07 Me Dre sers tistice 

4 packets transmitted, 0 received, 100% packet loss, time 3012ms 


© Et pourquoi donc ? 


En fait, les paquets sont envoyés à 192.168.0.2 (notre machine) et la couche 3 les rejette, car le routage n'est pas activé. 
Dès lors que nous activons le routage, les pings passent. Sur la machine 192.168.0.2 : 





debian202:-# echo 1 > /proc/sys/net/ipv4/ip forward 


Et le résultat sur la machine 192.168.0.1 : 


Code : Console 


débian 0 PEN ro 1092 6 00 

PRICES 2 MNERAOE SNS S SOS RS ENS NN AU SN CEE re Se 

SCNMIONITE SN ET OM RO ES RCE IN CIE NE Re ON RSS une 
SMIONICE SRE Or ART RSS OO EN RE TORSECEZNE IEC TN E EU ei ne 

te 

nr 166 OP MSASINE CR LSTiC 

2"packets/iransmitted, 2 received, 0% packet loss, time 9959ms 
be aud/ma/mdeve CO MI28 "2100 MRS ES A0 C0RS eme 


Le ping passe bien à nouveau. Nous venons de découvrir qu'un premier objectif de l'attaque peut être d'empêcher deux 
machines de communiquer entre elles. 
Une fois le routage activé, nous pouvons aussi observer le dialogue entre 192.168.0.1 et 192.168.0.3. 


Essayons de le voir. 


deux des 6 termmaux à votre disposition en utilisant la composition de touches CTRL+ALT+FX, X étant le numéro de 


© Pour pouvoir à la fois réaliser notre attaque dans un terminal et écouter le réseau dans un autre, vous pouvezutiliser 
terminal. 





e Nous lançons l'attaque depuis 192.168.0.2. 
e Nous lançons un ping de 192.168.0.1 vers 192.168.0.3. 
e Nous écoutons sur 192.168.0.2 pour voir s1 l'on voit passer le ping. 


Comme pour le TP sur le routage, nous allons utiliser tcpdump : 


Code : Console 


debiain202 Nrcpdump 1eme 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on eth0, link-type ENIOMB (EFthernet), capture size 96 bytes 
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PO RSS TON STE RS ZAR CAS 007 VOOR ATCMER CRC Que ee ion C 176 ecRe 01 
PONS O2 7e TE 002% PS0 0007 ES OS -AICMEME Cho Que, mio CIC RS eCRe Ut? 


«| Le] 








Nous pouvons remarquer deux choses : 


e nous voyons bien passer les requêtes ping ; 
° nous ne voyons pas passer les réponses renvoyées par 192.168.0.3 ?! 





© Pourquoi ne voit-on pas passer les réponses ? 


Parce que nous n'avons lancé l'attaque que dans un sens ! 

Nous n'avons pas encore modifié la table ARP de 192.168.0.3. Donc il renvoie normalement ses réponses directement à 
192.168.0.1 sans passer par nous. Essayez de mener l'attaque dans les deuxsens et observez si vous voyez bien passer les 
réponses au ping. 


Encore une amélioration de l'attaque 


Nous avons vu que grâce à cette attaque, nous sommes capables d'écouter le trafic entre deux machines sur un réseau local. 


©) Mais n'y aurait-il pas une machine particuhère sur le réseau qu'il serait intéressant d'écouter ? 





Bien sûr ! C'est notre passerelle, car elle voit passer tout le trafic des machines du réseau local vers Internet ! 
Ainsi, S1Je menais l'attaque entre une machine du réseau local et la passerelle, je pourrais voir le trafic Internet de cette machine... 
Mais nous pouvons faire encore mieux ! 


Encore une amélioration de l'amélioration de l'attaque 


Nous pouvons écouter le trafic entre une machine et la passerelle mais, tant qu'à faire, 1l serait encore mieux d'écouter le trafic 
entre toutes les machines du réseau et la passerelle. 

Pour cela, nous pouvons utiliser l'adresse IP de broadcast en adresse IP de destination pour envoyer notre attaque et nous 
toucherons ainsi directement toutes les machines du réseau (le sens mverse de l'attaque devra par contre être fait pour chacune 
des machines). 


© Donc nous sommes maintenant capables d'écouter le trafic de n'importe quelle machine de notre réseau. 





Nous avons vu le protocole ARP et comment l'utiliser à des fins peu recommandables. 


Mais nous allons voir qu'il existe d'autres protocoles de couche 3, notamment celui qui nous sert déjà depuis un petit moment à 
envoyer des pings ou à faire des traceroute, le protocole ICMP. 


Le protocole ICMP 
Encore un protocole pour la couche 3 ! 


N'oublions pas que nous avons vu que le protocole ARP n'était pas un vrai protocole de couche 3 : 


e 1létait à cheval sur les couches 2 et 3; 
e son rôle n'était pas de transporter de l'information, mais de faire la liaison entre des adresses. 
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Le protocole ICMP, lui, ne va pas non plus concurrencer le protocole IP, car son objectif n'est pas de transporter de l'information. 
Son rôle est de contrôler les erreurs de transmission, et d'aider au débogage réseau. 


Pourquoi un autre protocole ? 


Nous avons vu dans les TP précédents que la configuration du routage sur un réseau n'est pas toujours facile. Et quand ça ne 
marche pas, iln'est pas facile non plus de trouver d'où vient l'erreur. 
L'un des objectifs du protocole ICMP est justement de nous faciliter le débogage réseau ! 


En gros, son utilisation nous permet de comprendre rapidement d'où peut venir un problème réseau, et de nous donner des 
outils pour investiguer un problème réseau. 


Le protocole ICMP est donc un "complément" du protocole IP, ou plus exactement des protocoles de la pile TCP/IP, qui 
permet de comprendre plus facilement ce qui se passe sur un réseau quand il y a un problème. 





Entrons sans plus tarder dans le vif du sujet pour comprendre ce protocole. 


Fonctionnement du protocole 


Il y a globalement deuxrôles principaux pour le protocole ICMP : 


e ICMP sert à mdiquer automatiquement des erreurs quand elles surviennent ; 
e ICMP peut fournir des outils pour étudier un problème réseau. 


Nous allons commencer par voir les messages ICMP automatiques. 


Les messages automatiques 


Il y a deux informations quinous intéressent dans l'en-tête ICMP, le type et le code. Le type permet de dire à quoi sert le message 
ICMP, le code permettant de préciser le rôle du message. 


Par exemple, un paquet ICMP de type 3 indique que le destinataire n'est pas accessible. 
S1 J'envoie un paquet à une machine B et que je reçois un message ICMP de type 3, je sais qu'il y a eu un problème sur le réseau. 
Maintenant, le code du message va me dire ce qui a précisément posé problème : 


e un code égal à 0 me dira que le réseau n'est pas accessible (globalement, qu'un routeur sur le chemin n'a pas de route 
pour le réseau destination) ; 

e un code égal à 1 me dira que la machine n'est pas accessible (une requête ARP a sûrement été envoyée par le dernier 
routeur, mais personne n'y a répondu) ; etc. 


Au niveau de ma machine, s1 j'ai fait un ping par exemple, je verrai un message comme "Destination unreachable" dans ma ligne 
de commande. Mais s1 je suis en environnement graphique, 1l y a toutes les chances pour que Je n'aie aucune mformation ICMP 
qui s'affiche, même s1 le paquet ICMP automatique a bien été reçu par ma machine. 

Il faut dans ce cas sortir un sniffer comme tcpdump ou wireshark pour voir les messages d'erreur ICMP circuler sur le réseau. 


Nous avons vu le premier type de message automatique, le type 3, mais il y en a d'autres, voici les plus utilisés : 


e type 5, ICMP redirect, mdique qu'il y a un chemin plus court vers la destination ; 
e type 11, TTLexceeded, mdique que la durée de vie du paquet a expiré. 


Le premier est utilisé quand un routeur renvoie un paquet par l'interface depuis laquelle 1l l'a reçu. Cela veut dire qu'il n'est pas 
nécessaire de passer par lui et qu'il y a un chemin plus court. Ceci permet à l'administrateur qui voit passer ces messages 
d'améliorer le routage sur son réseau. 


Le second est très utilisé. Pour le comprendre, vous devez déjà apprendre ce qu'est le TTL dans l'en-tête IP. 
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Nous avons déjà vu un TTL, c'était celui de la table CAM du switch. Il mdiquait la durée de vie d'une mformation dans la table. 
Eh bien un mécanisme équivalent a été implémenté dans le protocole IP pour éviter que les paquets ne circulent indéfiniment 
entre différents routeurs. 


Imaginons qu'un routeur À ait comme passerelle par défaut un routeur B, et que le routeur B ait comme passerelle par défaut le 
routeur À. 

Un paquet envoyé à l'un des routeurs à destination d'un autre réseau va circuler alternativement d'un routeur à l'autre, comme 
une balle de ping-pong, sans jamais s'arrêter. Après quelque temps, beaucoup de paquets feront de même, et le réseau sera 
saturé. 


Pour éviter ce problème, on a implémenté un système de TTL dans l'en-tête IP. Quand une machine envoie un paquet IP sur le 
réseau, un des éléments de l'en-tête est le TTL quiest une valeur entre 0 et 255. Par exemple, tout paquet envoyé depuis un Linux 
a un TTL de 64, cela varie d'un système à l'autre, 64 étant la plus petite. 

À chaque passage par un routeur, celui-ci va enlever 1 au TTL. Si le TTLarrive à 0, il jette le paquet à la poubelle ET envoie un 
message d'erreur ICMP "TTL exceeded". 


Ainsi, si un paquet fait une partie de pmg-pong entre deux routeurs, le processus s'arrêtera quand le TTL sera arrivé à 0. Grâce 
au TTL, on évite la saturation d'un réseau par mauvaise configuration de routage. Le message ICMP TTL exceeded permet, en 
plus, de comprendre le problème réseau. 


Exemple de la vie réelle 


J'essayai un jour de joindre le site web home.t-online.de. Cependant, le site ne s'affichait pas. 
J'ai sorti mon sniffer wireshark pour voir ce quise passait au niveau réseau et j'ai vu une multitude de paquets d'erreur ICMP TTL 
exceeded. Je sus qu'il y avait donc une boucle de routage. 


J'ai donc fait un traceroute vers ce site pour essayer de voir où le problème se situait, voici le résultat : 


Code : Console 


Oasd- her cerourelihonme t-cnbine de 
briceroute Warning: home ronde dethas mulerple Re diréesseés using se 0 1S 0" 0721 
bracerouterto"home-t-onlire- de 0/-MS0 14m) SDrhops max, 38 byre packeirs 

ONE 2 5 2 0e RS SS  20m 20) MOSS Sn eDaC Jan ADS Éd 

2 RE IS NO ARE NS ES EE NO (CRM MOTS EM AC Cine ENTRE 
ÉOS-TAURRRS Er RAS D Ml brenS EME Pac treineerelecOom. nero ls re PUS) 7 
277 HO Eine 27/5 ENme 
RS COS 2 20) 07 CURE ins 2 SC 02m 
SRbpos 2-0 neaub 208 Aube MR r Se irancereleécommemnt9252 08227106) 66.06 1NMS 
POUSSE CENTS 

COS 27 0 CRUE 2 0260) 0 en 270 -bmene 22906 me 


(C9 


7  PpP14- 
DROAF CRC = RAM be mEerenmSmee ne OS 721827 21/00 OT EN MAIN SAONE SE ATOS MN 
8 PO- 


DANONE mere Obenernmestenetn ti "160) 122056 nm mel0 eee lem-ni 
CE PTS OM ON ONU RAM enEeranS rene 2022710 DORA TITI INTS TS RTT 
PONS PAPE CD OPA EVCR RUE mess obeémrer mn itcerer ete 975 12281000) MS AE Rs 


ST M9 2501% 24821070) PO NCC Ms 0 Men 6 Co 
ee (925271 160) DOS SN lim 2 
ST M9 251% 24821070) Ses GROS MS NT RSS ECS 
a ta US 2510%15-%1159) 60.024007 UEm-3 
a  . (LS SR 2514248170) LAPS eme 7° sn 11772 
fe 9325100415 %1169) LS 10 ne 0711097081 1 
A (SSSR 2512480170) ANS ST TS a CSS STE ES IS 
te (PSS 1027671862) SOS DE ere TO OS | 
A 9e #25 716,27 1870) Lolo 2 mm de 270 
PONREUE 
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DANONE RUB ABBrerS obeénermere. mem 751827716600) 6225 2Bm-e cr DS Me 
 . MORE 22120) CHE 22 TS Ml CT mel 022 
ST (HÉS SR E NAT ARS S) CMP MC TE COS RME 
US 225402752170) 722 0 nes 10 
(95225 10278160) TIR Em 2202718 
OS 254827 21270) HI CERTES Es 0m 00e 0 
D LE RER ne MISES 21660) DÉS SN Te MONS ET NL 
TR Se 21270) ÉD OR Se A NT Se 10 
TE MS 26 10277169) CHE C 20 NM  COUUMME 
D'OR RP RO ONCE O RAS ererenm ben eLMOhoe25027S7/157/0) DSC 22 ENS 

RAT 2 Le a (9625 1271-7152) DEAN ms CS TS 6 ns 


EI D 








Nous pouvons voir ici que les étapes 7 et 8 se répètent à l'infini. 
En fait, chacun de ces routeurs se renvoyait mes paquets mdéfniment. 


Grâce au protocole ICMP, j'ai pu comprendre l'erreur et la faire corriger rapidement ! (5) 


Mais retournons à notre protocole. Nous avons vu un certain nombre de types de messages ICMP différents et envoyés 
automatiquement par les machines. Nous allons maintenant voir les types de messages utiles pour déboguer le réseau. 


Messages utiles pour déboguer le réseau 


Ces paquets ICMP vont en fait nous être utiles pour des commandes qui vont nous permettre de déboguer des problèmes 
réseau. Or, ces commandes, nous les connaissons déjà. 


Il s'agit de la commande ping et de la commande traceroute. 

Le ping est en fait la combinaison de deuxtypes de messages ICMP, un echo request, type 8, et un echo reply, type (. 

Le principe du png est qu'une machine envoie un echo request, auquel répond une machine destinataire avec un echo reply. 
C'est pour cela que quand on arrive à pinguer une autre machine, on sait que le routage est correct dans les deuxsens. 


Pour le traceroute, c'est un peu plus compliqué. 
On utilise en fait une petite astuce en se servant d'un message automatique ICMP, le TTL exceeded. 


Essayez de comprendre : comment peut-on connaître tous les routeurs entre nous et une destination donnée, en se 
servant de paquets ICMP TTL exceeded ? 





Imaginons que je veuille faire un traceroute vers le Site du Zéro. Comment connaître le premier routeur par lequel je passe ? 
On pourrait aller voir dans notre table de routage, mais cela ne fonctionnerait que pour le premier routeur... 

L'ndice nous dit d'utiliser un paquet ICMP TTL exceeded. L'idée pourrait donc être de faire générer ce paquet par le premier 
routeur. Ainsi, en voyant ce message d'erreur, je pourrais voir l'adresse du routeur dans ce paquet. 


© Comment faire pour faire générer ce message d'erreur par le premier routeur ? 





Il suffit de mettre un TTL à 1 dans le paquet envoyé. 
Le premier routeur va le recevoir, décrèémenter le TTL de 1 et donc le mettre à 0. Il devra Jeter le message à la poubelle et me 
renvoyer un message d'erreur ICMP TTL exceeded. Ainsi, je pourrai connaître son adresse IP ! 


S1 vous avez compris le principe, pour connaître l'adresse du second routeur, 1l me suffira de mettre le TTL à 2 dans le paquet 
envoyé. Et ainsi de suite pour connaître tous les routeurs traversés ! 
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Nous avons donc vu les différents types de messages ICMP et avons vu que ce protocole permettait de mieux comprendre ou 
détecter quand un problème survenait sur le réseau. 
Passons à un peu de réflexion ! 


Exercice 


J'ai fait un traceroute vers le Site du Zéro et j'ai obtenu le résultat suivant : 


Code : Console 


mamachine:-# traceroute www.siteduzero.fr 

ChaCÉrOoUute OMMM SIivteduzrero rent IPEMODEMOTSS) NS 0Phopstmar, C00NEvVrespickes 
IRUSS  ROMZTS URSS RO RS LRO 202 me MORTE = em 0001750 0e 
OS DO CMS RON 216) RS 0 0m er 
Hhath ere ROME EC 

Diner rour-r-Mpro aime MC ONE ST 0 TES ns ADS Ce n MOerS SnS 


4 xe-0-3- 
Dmortae Pl Love nne tr MOIS AS NUS EPS US SS en ADS CMS 
SR CE 


Omer eee be rvennet Are 120) CAL TS DT TON rs TN AE 
CR CRI AERTERC e Dlo Venere enr) ILES CRM EST RmneMaU rs SCANS 
DR ETS RC NE D Lo en ne a e ee 20) 1222 eine mes meme Cnns 
O2 0 Sous tele 

ee = eus orne ae en Abe er PERS Are las mene ls -tment- 2eme 
JMrebredie. Vo. dance neL PIE OR) QUES MOSS Se MOSS 72 


On voit ici que je suis passé deux fois par le routeur 79.141.43.6.f301.above.net dans les étapes 6 et 7. 





© Comment est-ce possible de passer deux fois par le même routeur ? 


Indice : il faut penser au fait que deux messages envoyés sur le réseau peuvent emprunter des chemins différents … 


Solution : en fait, le fonctionnement de traceroute fait en sorte qu'on envoie une nouvelle requête avec un TTL différent 
pour chaque routeur que l'on veut connaître. Mais chacune de ces requêtes peut passer par un chemin différent sur Internet, le 
résultat d'un traceroute n'est jamais figé dans le marbre, car le routage peut évoluer. 

Ainsi, il est possible que quand j'ai envoyé le paquet avec un TTL de 6, j'ai emprunté une route qui me fasse passer par le routeur 
79.141.43.6.f301.above.net en sixième position et que, quand j'ai envoyé le paquet avec un TTL de 7, j'ai rencontré le routeur 
79.141.43.6.f301.above.net en septième position. 

C'est ce qui explique que l'on ait l'impression de passer deux fois par le même routeur. 


Ce chapitre se termine, vous saurez maintenant utiliser des outils comme png et traceroute pour vous aider à comprendre 
des problèmes réseau, et vous pourrez aussi sortir votre sniffer préféré pour détecter des problèmes sous-jacents. 


e vous connaissez mamtenant le protocole qui permet d'associer une adresse IP à une adresse MAC, j'ai nommé A RP ; 
e vous avez vu un premier exemple de sécurité réseau avec l'ARP cache poisonning ; 
e etenfin, vous connaissez le protocole ICMP qui permet de corriger et de déboguer le protocole IP. 


Nous savons maintenant faire communiquer des machines d'un réseau à un autre grâce à la couche 3. Nous allons tout de suite 
continuer et étudier la couche 4. 


Dans cette partie, nous avons appris: 


e l'adressage IP qui permet de définir les réseaux ; 
e le routage qui permet de passer d'un réseau à un autre ; 
e etenfin quelques protocoles supplémentaires qui permettent d'améliorer le fonctionnement des réseaux. 


Nous savons mamtenant dialoguer parfaitement d'un réseau à un autre. Nous pouvons donc joindre une machine à l'autre bout 
du monde. 
Cependant, notre objectif est d'arriver à faire dialoguer des applications ensemble. 
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Pour cela, nous allons devoir étudier la couche 4. 
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Partie 3 : Communiquer entre applications 


Avant de nous plonger plus profondément dans la couche 4, nous allons d'abord comprendre ce qu'est une application, et avec 
celle-ci la notion de client et de serveur qui est le modèle encore le plus utilisé sur Internet. 


Une fois ces notions acquises, nous pourrons alors aborder les protocoles de couche 4 qui permettent de communiquer entre 
applications, ainsi que les subtilités réseau qui y sont associées. 


C'est quoi, une application ? 


Après les gros chapitres que vous venez d'enchaîner, celui-ci fera figure de gâteau. 

En effet, ce chapitre a surtout pour objectif de vous faire comprendre certains concepts que vous utilisez sûrement déjà. Il 
devrait donc être succinct et facile à comprendre. 

Plongeons-nous dès mamtenant dans les notions de chent et de serveur qui sont si importantes sur Internet. 


Le serveur 
Pour une application client / serveur, il faut un serveur. 
Le propre d'un serveur est d'offrir un service. Par exemple, s1 l'on prend le cas d'un serveur web, son rôle est de mettre à 
disposition des internautes des pages web. Un serveur de messagerie mettra à disposition des adresses mail amsi qu'un service 
d'envoi et de réception de mails. 





© On peut donc dire d'une machine qu'elle est un serveur, dès lors qu'elle fournit un service. 


Le détail d'un serveur 


Sans descendre au niveau du fonctionnement basique d'un serveur et du langage de programmation qui a été utilisé pour le 
créer, nous allons quand même essayer de comprendre le mode de fonctionnement d'un serveur. 


Le serveur écoute 


Étant donné que le serveur est censé fournir un service accessible tout le temps, on dit qu'il est en écoute. En fait, le serveur va 
écouter sur le réseau et être prêt à répondre aux requêtes qui lui sont adressées. 

Vus pouvez tout à fait le voir sur vos machines virtuelles Linux, ou même sur un autre système d'exploitation avec la commande 
netstat -an. Le résultat étant un peu un fouills, je vous propose, sous Linux, d'utiliser l'option -antp. 


Code : Console 


Sd Ole Nr ete 
Connexions Internet actives (serveurs et établies) 


Proto Recv-Q Send-Q Adresse locale Adresse distante He ane PIL 
Lo 0 OMOCMONONMS SES DROPOMONS EP APEIN 705 
nee) 0 CAES RAC ORMIESS S DIE OMOPOUAUS LPS TEIN © AN} 
ee) O CO OMO AID ARTE DÉOROMO ÉESNMEIN 184 
te 0 CROIRE SNS OMOMONOES LLSTEIN 524 
ten 0 CAO OO CACAOAIOES PTS MEIN 296 
nee 0 OMC OROMCR 2 DACMOAUES EPS TEIN sv 
nee) 0 CAO ORCPE RO OI CAO PROAOEESS LS TEN 524 
ren 0 CRI AUDe 0e 0 02% TP 0e 0EeIR SO TIME WAIT — 

Be 0 CP AUE DAS E2SS 1 ACROSS SO TIME WAIT — 

EC 0 ANG AO AS 268827 OS US AIS ORSSTATS STABLES D 2514 
Bears 0 OMR ERNCNES a) PAS MEEIN Gé S 
repe 0 CSS SC 0] PUR SMIEIN 187 
Beioie 0 C0 ie) IS MPEIN 21916 








«| | Ce] 





Ici, trois colonnes nous intéressent. 
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La colonne Adresse locale nous donne l'adresse IP en écoute, ainsi qu'un numéro que nous ne connaissons pas encore. 
La colonne Etat nous mdique... l'état du service ! 
La colonne PTD/program name nous mdique le numéro du processus en écoute ainsi que son nom. 


S1Je prends par exemple la seconde ligne, je vois que j'ai un service MySQL qui tourne sur le numéro 3306 de l'adresse IP 
127.0.0.1. Son état LISTEN montre qu'il est en écoute, ce qui est bien pour un service. 


Vus vous souvenez ? 127.0.0.1 est une adresse IP spéciale, réservée pour une utilisation locale. 
Ici, notre serveur MySQL sera mjoignable depuis le réseau. Il ne sera joignable que depuis la machine elle-même. Cela évite de 
rendre un service accessible aux autres s1 on n'en a besoin que localement. 


On peut dire ici que ma machine est un serveur, car elle fournit des services sur le réseau (des programmes sont en 
écoute et sont prêts à répondre à des requêtes qui leur parviennent). 





On peut s'interroger sur deux autres lignes et notamment sur leurs états. Il y a une ligne à l'état ESTA BLISHED qui montre que la 
connexion est établie. 
C'est super, cela veut dire que notre machine est en train de fournir un service ! Quelqu'un est connecté sur notre machine ! 


Enfin, l'état TIME WAIT montre d'anciennes connexions quisont en cours de terminaison. 


Conclusion 


On peut donc en déduire qu'un service est un programme qui est en écoute sur une machine. On peut alors appeler cette 
machine un serveur. 

Mais ce service ne servirait à rien s'il n'était pas utilisé, et pour cela, il faut que des clients viennent se connecter dessus et 
l'utilisent ! 


Le client 
Qu'est-ce qu'un client ? 


Le client est simplement un programme qui se connecte à un service pour l'utiliser. Wus en connaissez plein, et d'ailleurs vous en 
utilisez tous les jours ! 


Oui, en ce moment même vous utilisez un client web qui est votre navigateur et quise connecte au serveur du Site du Zéro. 
C'est bien une connexion client/serveur qui est établie entre votre navigateur et le serveur web du Site du Zéro. 


©) Et j'utilise d'autres clients, sinon ? 


Oui, des tas ! Wus utilisez peut-être un client de messagerie comme Outlook, Thunderbird ou Evolution. 

Vus pouvezaussiutilser un client FTP pour le transfert de fichiers, comme Filezilla. 

Si vous jouez un peu en ligne, vous utilisez sûrement un client pour vous connecter à votre jeu préféré qui fonctionne sur un 
serveur sur Internet. 





€) Un client peut-il être serveur ? Et vice versa ? 





Oui, bien sûr ! Par exemple, on a vu dans le paragraphe précédent que ma machine était serveur, mais c'est aussi avec cette 
machine que je me connecte sur des sites web en tant que client. Elle joue donc à la fois le rôle de cent et celui de serveur. 


© Alors iln'y a que des machines qui ont les deuxrôles ? 


Non, la plupart du temps, les machines serveur ne jouent pas le rôle de client, ou très peu. Elles sont spécialisées en tant que 
serveur et pour des raisons de sécurité, on limite les services disponibles à ceux qui sont strictement nécessaires, et on évite que 
cette machine ait une activité de client qui pourrait engendrer des failles. 

De la même façon, on considère que les machines des utilisateurs comme vous et moi jouent en majeure partie le rôle d'un client 
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et sont donc vues comme des chents et non des serveurs. 


Et Internet là-dedans ? 


On peut dire qu'Internet est aujourd'hui massivement basé sur un fonctionnement client/serveur. 


Ceci dit, ce n'est pas l'unique façon de se connecter. En peer to peer par exemple, chacun peut prendre le rôle de client et de 
serveur. De même, le service n'est pas assuré par un seul et unique serveur auquel on s'adresse, mais par tout un ensemble de 


machines qui possèdent la ressource. 
Nous voyons que la notion de chient/serveur est très importante pour Internet. 
Elle joue notamment un grand rôle dans le modèle OST et spécifiquement pour la couche 4. 


Nous allons donc pouvoir aborder cette couche seremement dans le prochain chapitre ! (5) 
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Rendre mes applications joignables sur le réseau 


Avec tout ce que nous avons vu jusqu'à maintenant, nous sommes capables de faire dialoguer ensemble des machines d'un 
bout à l'autre d'Internet. 


Mais ça nous fait une belle jambe, car ce que nous voulons c'est pouvoir faire dialoguer une application cliente avec une 
application serveur. C'est là où la couche 4 entre en jeu, en ajoutant la notion d'application au réseau. C'est elle qui va faire le lien 
entre la couche applicative et les couches réseau. 


Nous allons voir dans ce chapitre les deux protocoles utilisés en couche 4. Eh oui, iln'y en a pas qu'un seul! 
Accrochez-vous, c'est encore à un gros chapitre que vous avezaffaire ! 


La couche 4, ses rôles 


Grâce à la couche 2, nous savons dialoguer sur un réseau local. 
Grâce à la couche 3, nous savons dialoguer entre réseaux. 
Nous sommes donc capables de dialoguer entre deux machines sur des réseaux distants, chacune à un bout du monde. 





© À quoi va donc bien pouvoir nous servir la couche 4 alors ? 


Eh bien, notre objectif n'est pas de faire dialoguer ensemble des machines, mais de faire dialoguer ensemble des applications. 
Vus vous rappelez le modèle OST ? La figure suivante devrait vous rafraîchir la mémoire. 


Le 
= 
as | 
ÉD: 
Le pl 
D 
= 
= 
[um 
== 


liaison de 
données 


| 


Le modèle OSI 
Nous voyons très bien ici que le réseau va servir à transporter l'information fournie par les applications. Ainsi, notre objectif est 
de faire dialoguer des applications qui sont sur des machines, entre elles. 


On voit tout de suite l'intérêt d'avoir une couche du modèle OSI qui soit en charge de la communication entre applications. 
Le rôle de la couche 4 est donc de gérer les connexions applicatives. 


Nous allons maintenant voir comment les protocoles de couche 4 vont faire cela. eh oui, j'ai bien dit LES protocoles de couche 
4 


Un identifiant, le port 
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Le port 
Définition 


En couches 2 et 3, nous avions vu qu'il fallait une adresse pour identifier les éléments nécessaires à l'identification des moyens 
de communication. L'adresse MAC identifie la carte réseau en couche 2, et l'adresse IP identifie l'adresse de notre machine au 
sein d'un réseau, en couche 3. 


Eh bien en couche 4, l'adresse utilisée est le port. 


© Euh... c'est une adresse ou un port ? 


Le port est une adresse. C'est même l'adresse d'une application sur une machine. 





Ainsi, nous pourrons identifier toute application qui tourne sur notre machine et qui a besoim de dialoguer sur le réseau. 
Si vous vous rappelez, dans le chapitre précédent, j'avais montré que mon serveur MySQL était en écoute sur le numéro 3306. 


Code : Console 


SCmolAee Te eere Cou © 
Connexions Internet actives (serveurs et établies) 


Proto Recv-Q Send-Q Adresse locale Adresse distante ÉCAaE PID 
1Hee) 0 DMROPOPACR CES SES CACURAOEES ES AMEIN 29) 
tcp 0 CAS OA O ee SIUIE CCR URUrS ÉTSAREIN 547 
cc O CMOPAOSC AO AIT CENCAURAURES ÉSMMEIN 184 
mere 0 OMNOAOAICEAUrS 0UUSS CAC AORAUESS PPS REIN 524 
ton 0 OMR RUACE 0877 CACAROMONSS EPS REIN 296 
nee 0 ONOAROSCSURLZS CRCEOMAOEES EPS REIN 0e 
née) 0 CROMOMPOMORAPO OMR CRACEUROES PS REIN 524 
ee 0 OMS OS Se 027 12 ENTRE; D EP A PER — 

Co 0 OMS AO OT RSE SES ATAUAOSES 306 TIME WAIT — 

Eco 0 NON e RTE NCe 27 HOPMC es DS SUR ESTABLISÈED 2514 
ECOC 0 reve ose ARS AIN ÉNSRE 
reLC 0 (be 8 0 He ASS AREUIN 187 
ECOC 0 0 7 A ES MEN 296 





4 Le) 





Nous savons mamtenant que ce numéro est en fait le port d'écoute de l'application MySQL. Si je reçois une requête MySQL sur 
l'adresse IP 127.0.0.1 et sur le port 3306, le service MySQL va pouvoir répondre. 


Exemple de port en écoute 


Prenons la machine d'adresse 88.191.135.63 sur laquelle je fais un netstat : 


Code : Console 


Ed A7 ner Lit nmEep 
Connexions Internet actives (serveurs et établies) 


Proto Recv-Q Send-Q Adresse locale Adresse distante EtCat PID 
Len 0 ROMA CAC AOC AUES ÉSTEN 220) 
LC O ROC DAC 2S OMOPORUES PS TEIN INST' 
Leon 0 CMP ORCAURES DIE DSCROMUSS IPS TEIN POS 
Bee 0 CS OR ONE 101 DPURURUES PS EIN 208 
ep 0 O5 0 ns IPS AREN 21% 
Lea 0 CRE RÉ PAS ABEIN 227 
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Nous voyons ici que le port 80 est en écoute à la ligne 5, et que c'est l'application apache2 qui est un serveur web : 


tcp6 LISTEN 
0/apache2 





Le port 80 est le port utilisé pour les serveurs web. Nous pouvons donc nous douter qu'un serveur web est en écoute sur cette 
machine ! Il ne nous reste plus qu'à utiliser un client web, soit un simple navigateur, pour nous connecter à cette application. 


Essayez sur votre navigateur d'entrer Af{p://88.191.135.63 (voir la figure suivante). 


RE € DE) 
O0 MEET EE 


Crer Un CmpEs € Se COonnmasts 





ACOUEIl LES FAQGS RESEAU  ÆELEARMIMG  ERIGMES RULES CUBE  QUISIME LIENS 


Accueil 
Bienvenue sur www.lalitte. con 


Qu'est-ce que lalltte.coem # Cours, FAQs et tutoriels 


Un site de partage de mes COMNSiSEanCes CLÉ COMÉÉCENCES, NOlsmimMent Les masques de sous-résesu - La MAT - Le routage - Cours TOPYIR 


ù dans le monde des systemes et réseaux que je cottoss depuis phusseurs Complet - Irestalher un Serseur CS. avec dibdns - Préser Emo 
1 | APTE à dialogue TCFAF raceroute exghqué É » Di CE i 
C'est au un wiki P qui permet à chaque lecteur de participer du She él routeurs, Svaflché ét Bubsé dé - Mise en place d'u dot 
d'y Fabre des modificsteons ADSL ent ix 7 - M ace d LOPYEUT SÉCUPISÉ Sois 
BSD Ep - Miss en pla d'une sauvegarde iordmentale sécurisée dl 


Les Pis 
kb JOEL - Gépart pour l'éasks imimiment. 4 voir ur alask learning 
inoatrhe, COTES 
” PET EPTT. b La . = { F ve pu Entrées lssen Qui Ce s JPEG à So « Fe en Ge à on Sbryir 
Fr il It - Ajout des tutos rédigés sur be site du zéro 
6 11/0 - Un nouveau tatorial sur La mise en place d'un Serveu SU * FN Brec CpenvPA - Mise en ace d'un Mira en DriCQE SOUS 
ken SE 
DNS véc dde Cent 


Cosrrurrs Sr E ridiper ? : 
is is Les tutos de bros 
Comet Got wiki re, litre con Lee mer à oo À AIDE VOUS LE 


de Ü marerdre les réseaux TOPYIÉ et le Éonctic LÉ 
C partscicer » L Créeabon et lelaEormion du GE + : 
RATS P : ri - b Introduction au scan de ports D 
PS Pour pouver faire dés Mmlariond, VOUS M'AMVEE QU'h créér yéEre j ») 
k DE OT SC 
compte. WOUS POUNEZ Mrs proposer où faire dénectement des nain id Sd LS 
msdfiowiens Sur 6 Gi, GÙ PUS DOUTE en OU CEr ; . É 
EF CLheuler pré à 1 1 D el 
Les situs rtenabres 
Ÿ. Le coin cuisine Er ee 
| | F [Ca CE] fartehonct care de [5 Mmesmser ouicée cour Le: enants Cp 
Fe La tarte au chocolat - La farté alégcienne - Le firamitn 
") F ATEN GR mariE DanEI vGErE vovboe de ds n nr E 


gas  .. présentes COMPIE, 


li HE ver NOUVEAU ES 2eme 


Nous avons entré dans l'URL l'adresse IP 88.191.135.63, et nous avons été redirigés vers mon site www.lalitte.com. 
C'est normal, car cette adresse est celle de la machine qui héberge mon site. 


Un point important à remarquer est que nous n'avons pas indiqué que nous voulions atteimdre le port 80, seule 
l'adresse IP a été mdiquée. 





C'est normal, car notre navigateur, qui est un client web, fait toujours ses requêtes sur le port 80 si un port n'est pas spécifié. 


Toutefois, nous pouvons explicitement spécifier un port dans notre URL, par exemple le port 22 qui était en écoute aussi sur la 
machine. Dans ce cas, nous allons taper 88.191.135.63:22 dans l'URL pour préciser le port voulu. 


Essayez avec tip://88.191.135.63:22, comme indiqué sur la figure suivante. 


(A) [| http://88.191.135.63:22/ 


SSH-2.0-OpenSSH 5.5pl Debian-6 





Www.openclassrooms.com 


Partie 3 : Communiquer entre applications 147/220 





Firefox peut bloquer votre requête, car il considère que c'est une faille de sécurité que d'interroger un autre port que le 
port 80. Pour désactiver la protection, tapez about : config dans l'URL. Puis faites un clic droit dans la barre en haut 
A sur la case Nom de l'option.Ajoutezune nouvelle chaîne de caractères 

network.security.ports.banned.override puis donnez-lui la valeur 1-65535. Wus pourrez maintenant 
indiquer le port que vous voudrez dans l'URL. 





Notez que cela ne fonctionnera pas sous Chrome. Wus avez donc le droit de changer de navigateur ! 


Nous voyons que nous tombons sur un serveur ssh. Ça tombe bien, car le port 22 est le port normalement réservé pour un 
serveur ssh. e 


Nous verrons plus tard quelle est son utilité, mais dès mamtenant, nous pouvons voir que derrière chaque port ouvert sur une 
machine se cache une application ! 


Quelles adresses pour les ports ? 


Beaucoup de ports ! 


Les ports sont codés en décimal sur deux octets. 


Ils peuvent donc prendre 216 valeurs, soit 65536 valeurs ! 

Vu que l'on commence l'adressage des ports à 0, nous pourrons avoir des valeurs de ports de 0 à 65535. 

Ça fait quand même pas mal, non ? 

Donc nous pourrons faire tourner au maximum 65536 applications en réseau sur une machine. Cela devrait aller... mais on peut 
quand même parfois arriver à saturation, en cas d'attaque, quand quelqu'un envoie des tonnes de paquets sur nos différents 
ports pour nous saturer. 


OK, nous avons donc 65535 ports à notre disposition. 


© Or, nous avons vu qu'un serveur web devait être sur le port 80. Y a-t-il d'autres ports réservés ? 


Ou, 1l y a quasiment autant de ports réservés que d'applications réseau qui existent. 
Liste des ports 


iciune petite liste des ports réservés, et des applications associées, les plus couramment utilisés : 


Application Port réservé 





eux Blizzard | 6112 
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| 
Si vous ne connaissez pas ces applications, ce n'est pas grave, nous les découvrirons pour la plupart dans la suite de ce cours. 


© Il y a donc 65535 ports réservés pour les applications ? 


Non, seule une partie d'entre eux sont réservés. D'ailleurs, historiquement, ce n'était que les ports mférieurs à 1024 qui étaient 
réservés. Mais aujourd'hui, beaucoup d'applications qui sortent utilisent des ports au-delà de 1024. 





© À quoi peuvent bien servir les ports au-dessus de 1024 alors ? 


C'est une très bonne question ! Nous avons dit que le port était l'adresse d'une application. Et nous avons vu que les ports 
étaient notamment utilisés pour les applications serveur, les services. 


© Mais quid des applications clientes ? Ont-elles aussi une adresse avec un port ? 





Eh bien les applications clientes ont des ports, elles aussi, mais ils ne sont pas réservés. 
Les ports attribués aux applications clientes sont donnés aléatoirement, au-dessus de 1024, par le système d'exploitation. 


Ce n'est pas gênant. Pour un serveur, vu qu'il est en écoute en permanence, 1l est important que l'on connaisse le port auquel on 
doit s'adresser. Pour un chent, l'application ne va être en écoute que le temps de son fonctionnement. Ainsi, il peut être choisi au 
hasard tant que le système d'exploitation sait quelle application se trouve derrière quel port. Prenons un exemple. 


Nous nous connectons avec notre navigateur préféré vers notre site préféré www.siteduzero.fr . 


Au moment où notre navigateur envoie la requête, un port va être demandé au système d'exploitation pour la connexion vers le 
Site du Zéro. Le système lui attribue le port 43645 (aléatoirement, ce port n'a aucune signification particulière). 

Désormais, l'application navigateur web est en écoute sur le port 43645 pour pouvoir recevoir les réponses que va luienvoyer 
le Site du Zéro. 

La requête est envoyée sur le port 80 du Site du Zéro (là, le port n'est pas aléatoire puisqu'on s'adresse à un serveur qui a un port 
réservé) qui va recevoir la requête, la traiter, et répondre à notre navigateur sur le port 43645. 


Pourillustrer cet exemple, je vais aller faire un tour sur mon site préféré, et regarder au niveau de ma machine s1 un port a été 
ouvert. 


© Mais comment voir les ports ouverts ? 


Vus vous souvenez ? Nous l'avons déjà fait, 1l s'agit de la commande netstat, plus exactement nefstat -an pour Windows et 
Mac, et netstat -antp pour Linux. 





ici le résultat : 
Code : Console 


Machook Mer iere hher- rate nel 0000210770 
tcp4 0 OUR SEC EIRE SES GS en SAN PACE SN 28 202600 TIME WAIT 


donc utilisé la commande grep qui permet d'isoler une ligne en fonction d'une chaîne de caractères, qui est ic1 l'adresse 


Ici, je n'ai pas cherché à imprimer tous les résultats de netstat mais seulement la ligne qui concernait le Site du Zéro. J'ai 
Â IP du Site du Zéro. 





Nous voyons ici que ma machine d'adresse 10.8.98.13 est en écoute sur le port 56681 pour communiquer avec le Site du Zéro sur 
son port 80. 
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Un port a bien été ouvert pour mon application chente qui est en fait mon navigateur web Firefox. 
Et voilà comment nous pouvons dialoguer entre applications client/serveur grâce aux ports ! 


Nous sommes maintenant prêts pour découvrir le reste de la couche 4, et notamment les deux protocoles qui la composent. 


Deux protocoles, TCP et UDP 
Deux protocoles pour le prix d'un ! 


En couche 2 comme en couche 3, nous n'avons vu qu'un seul protocole de transport des données (Ethernet pour la couche 2, et 
IP pour la couche 3). 





€) Alors pourquoi la couche 4 aurait-elle besoin de deux protocoles ? 


En fait, les gens qui ont créé les réseauxse sont rendu compte qu'il pouvait y avoir deux besoins différents pour le transport des 
données des applications : 


e des applications qui nécessitent un transport fiable des données, mais qui n'ont pas de besoin particulier en ce qui 
concerne la vitesse de transmission ; 

e des applications qui nécessitent un transport immédiat des mformations, mais qui peuvent se permettre de perdre 
quelques informations. 





© Avez-vous une idée des applications qui font partie de la première catégorie et de celles qui sont dans la seconde ? 


La première catégorie regroupe une très grande majorité des applications d'Internet, car bon nombre d'entre elles ont besoin 
que chaque paquet émis soit reçu coûte que coûte ! 

Ce sont notamment les applications comme le web, la messagerie, le ssh, beaucoup de jeux en ligne, etc. 

Si un paquet est perdu, une page web ne pourra pas s'afficher correctement, ce sera pareil pour un mail, etc. 


La seconde catégorie regroupe moins d'applications, mais vous comprendrez vite pourquoi ces applications ont besoïn d'être 
instantanées et peuvent se permettre qu'un paquet ne soit pas reçu. Il s'agit notamment des applications de streaming, comme la 
radio ou la télé sur Internet. 

Pour une radio en ligne, il est essentiel que les mformations soient envoyées en temps réel, le plus rapidement possible. Par 
contre, si un ou plusieurs paquets sont perdus, on ne va pas arrêter la radio pour autant. L'utilisateur aura des coupures de 
connexion, mais la radio continuera d'émettre. 


On identifie donc ainsi deux besoins bien distincts l'un de l'autre : 


e un protocole fiable mais sans nécessité de rapidité ; 
e un protocole rapide sans nécessité de fiabilité. 


C'est pour cela que nous avons deux protocoles pour la couche 4 : le protocole TCP et le protocole UDP. 


TCP est de la première catégorie, c'est un protocole extrêmement fiable. 

Chaque paquet envoyé doit être acquitté par le receveur, qui en réémettra un autre s'il ne reçoit pas d'accusé de réception. On dit 
alors que c'est un protocole connecté. 

On peut le comparer au téléphone. Quand on appelle quelqu'un, on dit "Allo ?" pour savoir s1 la personne est là et, s'il y a des 
silences dans la communication, on essaye de voir s1 la personne est encore à l'écoute, etc. En TCP ce sera pareil, pour chaque 
information envoyée, on vérifiera que la machine en face l'a bien reçue. 


UDP, lui, est un protocole rapide, mais peu fiable. Les paquets sont envoyés dès que possible, mais on se fiche de savoir s'ils ont 
été reçus ou pas. On dit qu'UDP est un protocole non-connecté. 
C'est un peu comme le courrier (sauf que le courrier n'est pas rapide...) On envoie notre lettre, et ensuite, on prie très fort pour 


que celle-ci arrive, mais on n'en sait rien. {** 





Regardons d'un peu plus près chacun de ces protocoles. 
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UDP, la simplicité 


UDP est le protocole le plus simple auquel vous aurez affaire en réseau. Etant donné que les objectifs associés à sa mise en 
œuvre sont la rapidité et la non-nécessité de savoir si une mformation est bien reçue, le format des messages envoyés sera très 


simple ! 
Le datagramme UDP 


Eh oui, on dit datagramme comme pour le message de couche 3 du protocole IP. C'est normal, car datagramme veut dire, en gros, 
message envoyé dont on ne sait rien sur la bonne transmission ou réception. Wic1 le contenu d'un datagramme UDP : 


Datagramme UDP 


Nous avons ic1 seulement 4 informations pour l'en-tête UDP. Chacune faisant 2 octets, cela nous fait un en-tête de seulement 8 
octets ! 
C'est le plus petit en-tête que nous ayons vu, et que nous verrons. 


Etudions ces champs un par un. 


Pour le port source, c'est simple, c'est l'adresse de l'application qui envoie l'nformation. 
Pour le port destination, c'est l'adresse de l'application destinataire. 

Ensuite, 1l y a un champ de 2 octets qui représente la taille d'un datagramme, ce qui veut dire que la taille maximum d'un 
datagramme sera de 216 soit 65536 octets. Cependant, dans la réalité, 1l est très rare de voir des datagrammes UDP de plus 
de 512 octets. Ceci est notamment dû au fait que perdre un petit datagramme est acceptable, mais en perdre un gros est 

plus gênant, vu qu'UDP n'a pas de gestion des paquets perdus. 
e Pour le checksum, ou CRC, le principe est le même que pour la couche 2 : s'assurer que les données reçues sont bien les 
mêmes que celles quiont été transmises. 


Tiens, tiens, une question ne vous vient-elle pas à l'esprit ? Non ? 


©) Pourquoi avoir un CRC pour le protocole UDP alors qu'il y en a déjà un pour la couche 2 avec le protocole Ethernet ? 





En effet, s1 vous avez bien compris le principe d'encapsulation, vous savez que le datagramme UDP est à l'intérieur de la trame 
Ethernet, et donc que le CRC de la trame vérifie les données de la couche 4 du protocole UDP. 





©) Pourquoi alors, faire ce CRC deux fois ? 


Eh bien la réponse se trouve dans le modèle OSI 

Si vous vous souvenez bien, une des règles associées au modèle OST est que chaque couche est indépendante. Ainsi, ce n'est 
pas parce que la couche 2 avec le protocole Ethernet fait un CRC, que la couche 4 ne doit pas en faire, de même que la couche 3. 
Étant donné que chacune des couches n'est pas censée savoir qu'une autre couche fait un CRC, chacune implémente son 
propre CRC. 


qu'un datagramme arrive en couche 4 avec des erreurs qui ont été produites entre le passage de la couche 3 à la couche 


© D'ailleurs, Richard Stevens, l'auteur de la bible des réseaux, TCP/IP illustré, volume 1, a montré qu'il arrive parfois 
4, Comme quoi, cet acharnement de CRC n'est pas toujours inutile ! 





Les applications qui utilisent UDP 


Comme prévu. les applications de streaming vont. en énorme majorité. utiliser UDP, comme la radio sur Internet. la télé sur 
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L al LL 1 _ a L°4 


Internet, etc. 

On l'utilise aussi pour la téléphonie sur Internet, plus connue sous le nom de WIP (Voice Over Internet Protocol) ou ToIP 
(Zelephony Over IP). 

Mais on utilise aussi UDP pour transporter deux protocoles majeurs d'Internet que sont le DNS et le SNMP. Nous verrons ces 
deux protocoles dans les prochains chapitres, ne vous inquiétez pas. Wus savez dès maintenant que ce sont deux exceptions qui 
utilisent UDP parmi la multitude d'applications quiutilisent TCP. 


© Que dire d'autre sur UDP ? 


Rien. UDP est un protocole simple, aussi simple que la longueur de ce paragraphe... f: 








TCP, tout envoi sera acquitté ! 


C'est dans le titre, le principe de TCP est d'acquitter chaque octet d'information reçue. 
A l'nverse d'UDP, il y aura beaucoup d'nformations dans l'en-tête TCP pour parvenir à suivre une connexion correctement. 
Mais nous n'allons pas tout de suite nous pencher dessus. Nous allons d'abord voir les principes de base de TCP. 


Avant de communiquer, on assure la communication. 


Prenons une conversation téléphonique. Avant de raconter son histoire, l'interlocuteur va d'abord s'assurer que son partenaire 
est bien présent au bout du fil. Cela donne: 


e Paul appelle : Tut... tut…. 
e René répond : Allo ? 
e Paul commence sa conversation : Allo, salut c'est Paul ! 


On voit très clairement 1c1 qu'il faut établir la communication avant de parler du sujet. Il en sera de même en TCP. 


Les trois premiers paquets envoyés ne serviront qu'à établir la communication. Comme le a/lo, ce seront des paquets vides qui 
ne sont là que pour s'assurer que l'autre veut bien parler avec nous. 


Comme le téléphone, une connexion TCP va se dérouler comme suit : 


e Tu veuxbien dialoguer avec moi ? 
e Oui, je suis OK. 
e OK, bien reçu, on commence la discussion. 


Pour cela TCP va utiliser des informations dans son en-tête pour dire si un paquet correspond à une demande de connexion ou si 
c'est un paquet normal. 


Les drapeaux 


Étant donné que les paquets qui vont être envoyés pour initialiser la connexion seront vides (ils ne contiendront pas de 

données) il faudra une mformation présente dans l'en-tête pour indiquer si c'est une demande de connexion, une réponse ou un 
acquittement (un acquittement sera une réponse vide qui servira simplement à dire à la machine en face que l'on a bien reçu ses 
informations, comme quand on dit "han han..." au téléphone pour bien spécifier que l'on écoute ce que dit notre interlocuteur). 


Pour cela, il va y avoir ce que l'on appelle des drapeaux (ou f/ags en anglais) dans l'en-tête TCP. Les drapeauxne sont rien 
d'autre que des bits qui peuvent prendre la valeur 0 ou 1. Ainsi, 1l y aura dans l'en-tête TCP des bits qui vont mdiquer quel est le 
type du message TCP envoyé. 


Établissement de la connexion 
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Le premier paquet sera une demande de synchronisation, comme le allo au téléphone, le flag correspondant est le flag S YN (SYN 
pour synchronisation !). Tous les flags sont connus sous leur forme courte, de trois lettres seulement. 

Ainsi, S1Je veux me connecter à une application serveur qui fonctionne avec TCP, je vais envoyer un paquet avec le flag SYN 
positionné pour lui mdiquer que je veux dialoguer avec elle, c'est l'équivalent d'un "Tu veux bien dialoguer avec mot ?". 


Un serveur recevant une demande SYN doit normalement répondre qu'il est d'accord pour communiquer avec le client. Pour cela 
il va envoyer un ACK en réponse (ACK comme acquittement, ou acknowledgement en anglais). 

MAIS, 1l va, à son tour, demander s1 le chent veut bien communiquer avec lui et positionner aussi le flag SYN dans sa réponse. Il 
y aura donc les flags S YN ET ACK positionnés dans sa réponse. 


communiquer avec lui ? 





© Euh, mais s1 le client a demandé à communiquer avec le serveur, pourquoi le serveur lui demande s'il veut bien 


Eh bien la réponse à cette question est primordiale pour comprendre TCP. 

Quand on veut communiquer en TCP, on n'établit pas une, mais deux connexions. 

Car TCP considère qu'il va y avoir une communication dans un sens, et une communication dans l'autre sens. Il établit donc une 
connexion pour chaque sens de communication. 


Ainsi, quand le serveur répond à la requête SYN, il acquitte la demande avec le ACK, et fait une demande de connexion pour 
l'autre sens de communication, du serveur vers le client, en positionnant le flag SYN. La réponse a donc les flags SYN ET ACK 


positionnés. 


Toutefois, notre connexion n'est pas encore établie. Il faut encore que le client accepte la demande de connexion faite par le 
serveur. Le chent va donc renvoyer un paquet avec un flag ACK: 


Cela donne le résultat que vous pouvez voir en figure suivante. 


Client À Serveur B 


de. 


3 Way Handshake 





Nous voyons bien ic1 la différence entre la communication bleue de A vers B et la communication rouge de B vers A. 

On voit d'ailleurs les couleurs des flags associés : en bleu, le premier SYN pour la demande de connexion de A vers B et le ACK 
dans la réponse pour acquitter la demande de connexion de A vers B ; en rouge le SYN pour la demande de connexion de B vers 
A et l'acquittement ACK dans le dernier paquet. 


L'établissement de la connexion TCP s'est donc fait par l'échange de trois paquets. C'est pour cela qu'on l'appelle Three Way 


Handshake où poignée de main tripartite en français (mais tous les spécialistes utilisent le terme anglais, comme souvent en 
réseau) 
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Continuation de la connexion 


Maintenant que la communication est établie, les applications peuvent s'échanger des paquets autant qu'elles le veulent ! 

Le principe au niveau des flags est simplement d'avoir positionné le flag ACK. Donc tout paquet échangé après l'établissement 
de la connexion n'aura que le flag ACK de positionné. Presque, car nous n'avons vu que deux flags pour l'instant... 
Néanmoins, ce quiest sûr, c'est que le flag ACK sera positionné sur tous les paquets, pour acquitter la réception des paquets 
précédents. 

Vyezen figure suivante le schéma de la continuité d'une connexion. 


Client À Serveur B 


Continuité de la connexion 





Fin de la connexion 





Toutes les bonnes choses ont une fin, et les connexions TCP aussi {4 


Une fois que les applications ont terminé leur communication, 1l faut encore fermer la connexion. 
Eh oui, on ne va pas laisser la connexion indéfiniment ouverte ! Sinous ne les hbérions jamais, nos ports seraient rapidement 
tous utilisés. 


Donc, de la même façon que l'on a utilisé des paquets vides et des flags pour établir une connexion, nous allons faire de même 
pour la clôturer. 


Le flag que l'on va utiliser alors, à l'opposé de SYN, est le flag FIN. 


Imaginons que le client veuille fermer la connexion, il envoie donc un paquet avec le flag FIN positionné. 





© Donc il n'y a que le flag FIN de positionné ? 


Non, car comme nous l'avons vu, dès lors qu'une connexion est établie, tout paquet contiendra un flag ACK pour acquitter le 
paquet précédent. Donc lorsque l'on demandera la fermeture de la connexion avec le flag FIN, on en profitera pour acquitter le 
paquet précédent reçu en ajoutant aussi le flag ACK. La demande de fermeture contiendra donc les flags FIN et ACK. 


Le serveur pourra ensuite, lui aussi, demander la fermeture de la communication dans l'autre sens, et acquitter la réception de la 
demande de fin. Il placera donc, lui aussi, les flags FIN et ACK. 
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© Super ! Et là, notre connexion est fermée ? 


Pas encore ! Le serveur a demandé la fermeture de la communication dans le sens serveur -> client, mais le client ne lui a pas 
encore acquitté cette demande. Si jamais ce paquet était perdu, le serveur et le client contmueraient à avoir leur connexion 
ouverte. Il faut donc que le client réponde au serveur qu'il a bien reçu sa demande de fermeture en envoyant un dernier paquet 
ACK. C'est seulement à ce moment que la connexion est fermée complètement et que les ressources des machines sont libérées 
(voir la figure suivante). 








Client À Serveur B 


Terminaison de la connexion 





Nous venons donc de voir comment se déroulait une connexion TCP : l'établissement à l'aide du fhree way handshake, la 
continuation et la fermeture. Il nous reste à voir les détails de l'en-tête TCP et notamment les flags dont nous avons parlé. 


Le segment TCP 


Voici un nouveau terme pour nous : le segment TCP. 

Nous avions la trame Ethernet, le datagramme IP, le datagramme UDP, et nous avons maintenant le segment TCP. 

Nous n'allons pas encore représenter en détail toutes les mformations de l'en-tête du segment TCP mais nous allons nous 
concentrer sur les éléments qui nous mtéressent. Nous verrons par la suite le détail de celui-ci. N'ngurgitons pas tout d'un coup, 
au risque de faire une indigestion ! 


ici donc la bête: 





Segment TCP 


Nous pouvons voir qu'il reste encore quelques points d'interrogation, mais ne vous inquiétez pas, nous les détaillerons par la 
suite. 

L'en-tête fait 20 octets, comme celui de la couche 3. 

Faisons le détail de ce que nous pouvons voir. 


e port source et port destination, on connaît ! 
e les flags, 
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ils sont au nombre de 6 et nous en connaissons déjà 3 ; 
SYN 
ACK 
FIN 


O0 O © © 0 
G 


URG 


e enfin, le checksumque nous connaissons aussi. 


I nous reste trois flags à expliciter, sachant que RST a une importance plus forte que les deux autres. 


Nous verrons dans un prochain chapitre qu'en TCP chaque octet de données envoyé doit être acquitté. Si jamais 1l y a une 
incohérence entre les données envoyées et les données reçues, la connexion est considérée comme anormale et la machine qui 
s'en rend compte doit prévenir l'autre pour arrêter la connexion et en mettre en place une nouvelle. 

Cela se fait grâce au flag RST. 


Si deux machines A et B ont établi une connexion TCP et qu'après quelques échanges la machine A se rend compte qu'il y a une 
incohérence dans la connexion, elle va envoyer un paquet contenant le flag RST pour mdiquer l'ncohérence et demander à la 
machine B de clore la connexion. 

Donc pour une fois, la connexion ne sera pas terminée par la séquence FIN+ACK, FIN+ACK, ACK. 


De la même façon, s1J'envoie un paquet SYN sur le port d'une machine qui est fermé, celle-ci doit me répondre RST pour me 
signifier que le port demandé n'est pas en écoute. 


, Cette notion de réponse par RST pour un port fermé est importante, car nous nous en servirons quand nous voudrons 
scanner les ports ouverts sur une machine et jouer les apprentis hackers ! 





Les flags PSH et URG peuvent être positionnés pour indiquer que le paquet doit être traité en priorité par la machine destinataire, 
mais nous ne détaillerons pas plus leur utilisation, car elle n'est pas nécessaire pour comprendre le fonctionnement des réseaux. 
Si vous souhaitez en savoir plus, je vous imvite à jeter un coup d’œil au lien suivant. 


Nous avons donc vu, en partie pour l'instant, le contenu d'un segment TCP ainsi que le suivi des connexions. Nous allons 
maintenant présenter un cas un peu plus concret pour bien fixer les idées. 
r 


Etude d'une connexion TCP complète 


Après avoir étudié la théorie, nous allons passer à la pratique et voir concrètement les segments qui sont échangés lors d'une 
communication entre un chent et un serveur. Nous verrons aussi dans cette partie comment utiliser un logiciel qui permet 
d'écouter ce qui passe sur le réseau, un sniffer. 


Wireshark, l'explorateur du réseau 


Presentation de l'outil 
Wireshark est un programme qui permet d'écouter ce qui passe sur le réseau et qu'on appelle communément un sniffer 
(prononcer sniffeur). 


Concrètement, Wireshark récupère les paquets réseau qui arrivent sur votre carte et interprète leur contenu intelligemment pour 
vous les présenter. Il permet ainsi de voir tous les paquets à destination de votre carte réseau. 


Il est bien important ic1 de distinguer tous les paquets réseau ou tous les paquets à destination de votre machine, des 
paquets à destination de votre carte réseau ! 


À 





En effet, tous les paquets qui passent sur votre carte réseau ne sont pas obligatoirement à destination de votre machine. C'est le 
cas des broadcasts par exemple, ou si jamais vous êtes un routeur et que des paquets transitent par vous. De la même façon, sur 
un réseau commuté (où les machines sont rehées entre elles avec un switch) nous ne verrons pas passer tous les paquets 
réseau, mais seulement ceux qui sont à destination de notre carte (ceux qui ont pour adresse MAC destination celle de notre 
carte ou le broadcast). 
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Donc Wireshark va recevoir les 0 et les 1, et comme il connaît les protocoles réseau, il sera capable de les mterpréter et de nous 
les présenter joliment ! 
ici à la figure suivante un exemple de ce que peut nous présenter Wireshark. 


RER SE nn menant | 
Elle Edit View Go Capturé gnalyze Statktiés Téléphony Tools Help 
CPU ER ETE E TELE CCGIE CLP 
Filter: | “Expression. Clear Apply 


No. | Time Source Destination Frtocal | Info 










E 





EMIERR 


Fram l: 09 bytes on ire (728 bits), 92 bytes captured (738 bits) 
Ethernet II, Src: G-ProCom Qu:29:al (O0:Of:fe:Qe: all, Cst: Broadcast (ff:ffeffsffsff:tf) 
Internet Protocol, Srez 10.8.90.23 (10.8.90.33), Cst: 10.868.628 (10.68.63. 25) 

User Datægram Brotocol, Src Port: netbios-ns (137), st Port: netbios-ns (137) 

NetELCS Hans Service 


VTT 7 


LEE 4 4 {f fi {1 {1 {f if 00 of fé Ge 29 al C6 00 45 00 aasassus anus 
OOLO OÙ %e e4 32 00 00 80 11 dû 46 Os 06 3% 17 Ou sMidisss class 
ocao af T O0 60 00 69 O0 3 6c 11 61 b2 O1 10 O0 QU 7.....,s: 1L.,,..,., 
GC0 C0 O0 00 O0 00 00 20 66 A8 46 A1 5 SE 45 45 AD so. un F HFAFEREEC 
OO0 àf 28 06 06 44 45 ds 45 46 48 42 43 4f 49 47 46 CEFFOEIE FERCOE 
OCSO 43 43 Af 43 41 41 41 O0 OO 20 09 O1 CCOCABS, à à 
Exemple Wireshark 


On peut y avoir plein de lignes avec tout plein de caractères ! 
Chacune de ces lignes a une signification et un sens. Nous allons maintenant les étudier. 


Presentation de la fenêtre Wireshark 


La fenêtre se compose en gros de quatre parties : 


e les menus et commandes ; 

e la présentation résunée des paquets reçus ; 
e la présentation détaillée d'un paquet ciblé ; 
e le contenu hexadécimal du paquet. 


Menus et commandes 


Le menu présenté en figure suivante est essentiellement composé des actions que nous pouvons faire avec Wireshark. Dans 
notre cas, nous ne nous servirons que de quelques actions. 


RARE ss nn LL NO = Mesa 
Eile Edit View Go Capture Analyze Statistics Telephony Tools Help 
HaidQu EOTxXSS A ee FEEB ARR SUR rE 
Fliter: | «| Expression. Clear Apply 


Menu Wireshark 





Il y a cependant une partie qui peut être importante pour nous, c'est la partie filter. Nous pouvons filtrer 1c1 les mformations 
affichées par Wireshark en fonction de certains critères, comme par exemple les adresses ou les ports. Cela permet notamment de 
suivre plus facilement une connexion TCP de A à Z sans avoir tous les paquets parasites qui peuvent circuler sur le réseau. 
Nous l'utiiserons par la suite. 
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On peut voir en figure suivante la liste résumée des paquets reçus avec les adresses IP source et destination, le dernier protocole 
encapsulé ainsi que quelques informations sur le contenu du paquet. 


No. | Tiré 











Sn Ci or  } LOS, ST, à 





_ 48 9.808811 


Source 


GemtekTe 









Crestination 


Sg:c3:bs Broa 


dcast | 






n = a F L e 
COR PRET EE 







Frotocol | Info 













L ir, n a | ei 
RSR a TE 


| à LE E | mL 
5 ne Re Sn 


Er os ni ee 
AL, ES En, 


C1 Ce 





Présentation résumée Wireshark 


La présentation détaillée d'un paquet ciblé est la partie qui va nous permettre de voir en détail le contenu des en-têtes (voir la 
figure suivante). Wireshark pourra interpréter tout le contenu de chaque en-tête et nous pourrons ams1 distinguer les 


mformations contenues dans chaque paquet. 


RO OT OT 


Frame 1: 92 bytes on wire (736 bits), 92 bytes captured (736 bits) 

Ethernet II, Src: G-ProCom Se:29:a1l (O0:0Of:fe:Ge:29:a1), Dst: Broadcast (ffiffiffiffiffiff) 
Internet Protocol, Src: 10.8.50.23 (10.8.50.23), Dst: 10.8.63.255 (10.8.63.255) 

User Datagram Protocol, Sre Port: netbios-ns (137), Dst Port: netbios-ns (137) 

NetBIOS Name Service 


Présentation détaillée 


Le contenu hexadécimal du paquet est un peu plus complexe : c'est le contenu brut du paquet non interprété par Wireshark (voir 
la figure suivante). Cela peut être utile s1 l'on veut voir le contenu réel d'un paquet et pas seulement ce que Wireshark interprète. 
Il peut y avoir des différences. 


8101016 
QO1C 
0020 
0030 
O4 
OUSO 


ff ff 
O0 4e 
3 ff 
O0 Q0 
af 45 
453 43 


ff 
4 
1e [8 
1e [ei 
46 
af 


ff 
32 
89 
O0 
45 
43 


ff ff 
00 O0 
O0 88 
O0 GO 
44 45 
41 41 


A0 
80 
A0 
20 
44 
41 


Qf 
11 
34 
46 
45 
re [ei 


fe 
do 
GC 
16 
465 
(0 


de 
46 
11 
46 
45 
20 


29 
Cia 
al 
4] 
4.7 
QC 


al 
QE 
b2 
45 
43 
Q1 


08 00 45 00  ........ NS 

32 17 Oa 08 N. 2 . .F..2 

O1 19 96 OL 2......% LE... 

42 45 45 43  ...... F HPFAEBEEC 

4f 45 47 46 OEPFFDEJE FEBCOEGF 
CCOCAAA. 


Contenu hexadécimal 


Passons mamtenant à l'étude complète d'une connexion. Pour cela, vous devez installer Wireshark ! 


Etude d'une connexion complète 


Installation de Wireshark 


Pour installer Wireshark, rien de plus simple. 


Pour nos amis sous Windows, il faut se rendre sur le site de téléchargement de Wireshark et exécuter l'installation en suivant les 
instructions. 


Sous Linux, je vous invite à utiliser votre gestionnaire de paquets préféré : 


# apt-get install wiresharkk 


I ne nous reste plus qu'à lancer le logiciel. 





www.openclassrooms.com 


Partie 3 : Communiquer entre applications 158/220 





Sous Linux, vérifiez que vous avez bien les droits root quand vous lancez le logiciel sinon Wireshark n'aura pas les 
| droits nécessaires pour accéder aux trames réseau reçues par vos interfaces. 





Lancement de la connexion et du sniffer 


Nous allons essayer de sniffer toute une connexion entre notre machine et un serveur sur Internet. Pour cela, je vous propose 
une connexion vers votre site préféré. (5) 


Dans Wireshark, nous allons choisir sur quelle interface réseau nous voulons récupérer le trafic. Il est possible que vous ayez 
plusieurs imterfaces réseau, comme une carte Ethernet ET une carte wifi. Dans ce cas, 1l faudra bien expliciter sur quelle carte 
réseau passe le trafic Internet. 


Pour cela, nous allons cliquer dans le menu Capture, puis Interfaces, comme indiqué sur la figure suivante. 


View Go MER Analyze Statistics lTelephony 











Ctri+Kk 
Ctrl+E le | EXPre Capture interface Wireshark 


[TI 


Une fenêtre s'ouvre en nous montrant nos différentes interfaces disponibles (voir la figure suivante). Nous allons cliquer sur 
Start pour commencer la capture, en choisissant l'interface qui reçoit le trafic Internet (celle qui reçoit des paquets en fait, enl 
chez moi). 


8e 0 © x! Wireshark: Capture Interfaces 


Device Description [P Packets Packets/s ti 


ælen0 Unknown Q Q Eu Star | fl Options | 
| fwO Unknown O 0 Eu Start | ml Options | 
#enl fe80':226:bbfffe16:2184 10077 6 Bu Start | fl Options | 
Æ#] p2p0 unknown 0 0 Eu Start | ml Options | 
æ| 100 fe80::1 Q Q Bu Start | fl Options | 

Help | > Close | 


Interfaces Wireshark 








Dès que vous avez cliqué, la capture commence et vous devriez commencer à voir s'afficher les paquets reçus par votre carte 
réseau. bus pouvez mamtenant aller sur votre navigateur préféré et commencer une connexion vers www.siteduzero.com. 
Attendez que la page soit affichée, et retournez dans Wireshark pour arrêter la capture en appuyant sur le menu Capture, puis 
Stop. 


Vus devriez mamtenant avoir reçu quelques paquets réseau que nous allons analyser ensemble. Mais avant cela, nous allons 
essayer de faire le tri dans tous les paquets reçus. En effet, il arrive souvent qu'il y ait beaucoup de trafic réseau et que les 
paquets quinous intéressent soient perdus parmi les autres. Il est alors possible dans Wireshark de donner des critères pour 
filtrer les paquets présentés. 
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Pour cela, nous allons indiquer un filtre dans la partie filter. Par exemple, nous ne voulons afficher que les paquets qui 
contiennent l'adresse IP du Site du Zéro, 80.248.210.229. Nous allons donc indiquer dans le filtre ip.addr — 80.248.210.229. 


ip.addr == 80.248 


Filter: 











| | v| Expression. Clear Apply 
Filtre Wireshark 
Cliquez sur 4pply afin d'appliquer le filtre. 


Vus ne devriez voir maintenant que les paquets qui concernent votre connexion avec le Site du Zéro. 


No. [Time Source Destination Protocol {info 





Connexion siteduzero.com 


Nous voyons bien dans la colonne info que les trois premiers paquets sont des paquets TCP ayant successivement les flags 
S YN, SYN+ACK et ACK . La connexion est donc bien initialisée ! 


Nous allons maintenant étudier quelques-uns de ces paquets en détail. 


Étude des paquets 


Nous allons cliquer sur le premier paquet SYN et observer son contenu. 

Dans la fenêtre juste en dessous, celle de présentation détaillée d'un paquet, nous voyons les différentes couches de notre 
paquet représentées. 

P Frame 99: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) 

P Ethernet II, Src: Apple 16:21:84 (00:26:bb:16:21:84), Dst: D-Link 53:e3:a4 (00:19:5b:53:e3:a4) 
F Internet Protocol, Src: 10.8.98.0 (10.8.98.0), Dst: 80.248.210.229 (80.248.210.229) 

F 





Détail d'un paquet complet 


La première ligne représente notre paquet de façon brute, la couche 1 du modèle OSL les 1 et les 0 en somme ! 
La seconde ligne représente la couche 2 du modèle OSL on peut y voir notamment les adresses MAC. 


On peut voir ici que les trois premiers octets de mon adresse MAC sont identifiés comme Apple . C'est possible, car si 
© vous vous souvenez, les trois premiers octets d'une adresse MAC représentent le constructeur de la carte réseau, et j'ai 
bien un Mac. 





La troisième ligne représente la couche 3 du modèle OSL et on y voit notamment les adresses IP. 
Enfin, la quatrième ligne représente la couche 4 du modèle OSL et on y voit les ports TCP. 


© Euh... mais. il n'y a pas de couche 7 applicative ? 





Eh bien non, pas encore. En effet, avant de pouvoir échanger nos données applicatives, il faut que la connexion TCP soit 
établie. Il faut donc que notre fhree way handshake soit terminé. Ce sont donc seulement des segments TCP qui sont d'abord 
échangés, et seulement ensuite, le quatrième paquet de la connexion devrait contenir des données applicatives. 


Nous allons maintenant regarder en détail le contenu de chaque couche. 
Commençons par la couche 2: 
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b Frame 99: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) 
LA 
F Destination: D-Link 53:63:44 (00:19:5b:53:e3:4a4) 
F Source: Apple 16:21:84 (00:26:bb:16:21:84) 
Type: IP (Ox0800) 
b Internet Protocol, Src: 10.8.98.0 (10.8.98.0), Dst: 80.248.210.22S (80.248.210.229) 


P Transmission Control Protocol, Src Port: 63528 (63528), Dst Port: http (80), Seg: 0, Len: 0 


Détail de la couche 2 


Comme nous pouvions nous y attendre, nous voyons les éléments que nous connaissons déjà, car nous les avons vus en 
étudiant la couche 2, souvenez-vous ! 


Adresse MAC DST | Adresse MAC SRC | Protocole de couche 3 
Trame Ethernet 


Nous voyons bien l'adresse MAC destination, puis l'adresse MAC source, et enfin le protocole de couche 3 utilisé, qui est ic1 
IP. 


Cela prouve aussi que je ne vous ai pas raconté que des bêtises jusqu'à mamtenant. {7 





Intéressons-nous à la couche 3 : 













































































b Frame 99: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) 
G ! 
Internet Protocol, Src: 10.68.98.0 (10.8.98.0), Dst: 80.748.210.229 (80.2748.210.229) 
Version: 4 
Header Length: 20 bytes 
b Differentiated Services Field: OxOO (DSCP Ox00: Default: ECN: Ox00) 
Total Length: 64 
Identification: Ox9653 (38483) 
F Flags: Ox02 (Don't Fragment) 
Fragment offset: © 
Time to live: 64 
Protocol: TCP (6) 
PF Header checksum: Ox147f [correct] 
Source: 10.8.98.0 (10.8.98.0) 
Destination: 80.248.210.229 (80.248.210.229) 


P Transmission Control Protocol, Src Port: 63528 (63528), Dst Port: http (80), Seqg: 0, Len: O0 


Détail de la couche 3 


Là, c'est plus complexe, car nous n'avons pas encore vu le contenu complet de l'en-tête IP. Cependant, nous pouvons 
reconnaître en fin d'en-tête les adresses IP source et destination. 


Enfin, intéressons-nous à la couche 4: 

















































































































D Frame 99: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) 
> 
b Internet Protocol, Src: 10.8.98.0 (10.8.98.0), Dst: 80.248.210.229 (80.248.210.229) 
7 Transmission Control Protocol, Src Port: 63528 (63528), Dst Port: http (80), Seg: ©, Len: 6 
Source port: 63528 (63528) 
Destination port: http (80) 
[Stream index: 19] 
Sequence number: © (relative sequence number) 
Header Length: 44 bytes 
D Flags: Ox02 ÉSYN) 
Window 51ze: 65535 
BP Checksum: OxaSed [validation disabled] 
PF Options: (24 bytes) 


Détail de la couche 4 
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Comme pour la couche 3, nous ne connaissons pas encore tout le contenu de la couche 4 mais nous pouvons reconnaître les 
ports en début d'en-tête ainsi que les flags en milieu d'en-tête. 


On voit d'ailleurs que le flag SYN est positionné, mais Wireshark peut nous donner encore plus de détails en cliquant sur le 
triangle devant les flags. 


009. .... .... = Reserved: Not set 
D .... .... = Nonce: Not set 
O0... .... = Congestion Window Reduced (CWR): Not set 
-0.. .... = ECN-Echo: Not set 
.0. .... = Urgent: Not set Détail des flags 
.Q .... = Acknowledgement: Not set 
O... = Push: Not set 
.Q.. = Reset: Not set 


Dane ee cale 2 SE St 


SE: — Fin: Not set 


Nous voyons bien iciles 6 flags que nous connaissons, URG, ACK, PSH, RST, SYN et FIN. Parmi ceux-ci, seul le flag SYN est 
positionné. 
Le premier segment de notre connexion est bien un segment SYN de demande d'ouverture de connexion. 


Il y a d'autres éléments de l'en-tête TCP que Wireshark considère comme étant des flags (Nonce, Congestion, etc.) mais 


À nous ne nous y intéresserons pas, car ils concernent des fonctions avancées du protocole TCP qui sortent du cadre de 
ce Cours. 





Si l'on clique sur le second paquet de la connexion, nous pouvons voir dans la couche 4 les flags SYN et ACK positionnés. Et de 
la même façon pour le flag ACK dans le troisième. 
Notre connexion TCP est donc bien initialisée. 


Nous devrions par conséquent avoir dans les prochains paquets les échanges applicatifs, c'est-à-dire les échanges web, de 
couche 7. 

Effectivement, nous pouvons déjà voir que la trame contient une couche supplémentaire après la couche TCP. C'est notre 
protocole web dans la couche applicative. 


b Frame 53: 995 bytes on wire (7960 bits), 995 bytes captured (7960 bits) on interface 0 
P Ethernet II, Src: Apple 16:21:84 (00:26:bb:16:21:84), Dst: PlanetTe 27:ad'ec (00:30:4f:27:ad:ec) 
BP Internet Protocol Version 4, Src: 10.8.98.0 (10.8.98.0), Dst: 80.248.210.229 (80.248.210.229) 


F Transmission Control Protocol, Src Port: 50397 (50397), Dst Port: http (80), Seq: 1, Ack: 1, Len: 929 
b 


Couche applicative dans notre paquet 


Nous allons pouvoir cliquer sur le petit triangle pour en développer le contenu. 


LT 

DGET Z HTTP/LINM 
Host: www, siteduzero,comir\n 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac 05 X 10,8; rv:15.0) Gecko/20108101 Firefox/15.0,1l\r\n 
Accept: text/htmLl,application/xhtml+xml,application/xml; q=0.9,*+/*#;q=û,8\4r\n 
Accept-Language: fr,fr-fr;gq=0.8,en-us;q=0û.5,en; q=û,3\r\n 
Accept-Encoding: gzip, deflate\r\un 
OMT: I\r\un 
Connection: keep-aliveïr\un 
[truncated] Cookie:  utma=207434001.861137686.1345566453,1347620797.1347630665.108; _ utmz=207434001. 
Cache-Control: max-age=ü\r\in 
\rAn 
[Full request URI: http://www. siteduzero.com/] 


Contenu applicatif 
Nous voyons bien qu'il s'agit d'une requête web vers le Site du Zéro ! 


Nous pouvons voir ensuite différents paquets échangés entre le client et le serveur du Site du Zéro. Ces paquets peuvent être 
applicatifs, mais 1l y a aussi des paquets quine contiennent pas de données applicatives. 


On appelle ces paquets des paquets de signalisation. 
Ils servent à mamtenir proprement la connexion entre les deux machines en indiquant en permanence à l'autre machine où nous 
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en sommes de la connexion. C'est ce qui permet de garantir qu'aucune mformation ne sera perdue lors des échanges. Nous le 
verrons plus tard en détail. 


Une fois que notre navigateur a reçu toutes les nformations et que le site s'affiche, 1l nous reste à clore proprement la connexion 
TCP. 


Comme vous le savez, cela se fait avec la séquence FIN+ACK, FIN+ACK, ACK. 






Fermeture de la connexion TCP 


Nous voyons ici qu'un segment TCP ACK est venu se glisser dans notre séquence, mais cela ne pose aucun problème. 
Tant qu'un des sens de la connexion TCP n'est pas ferme, il est toujours possible d'envoyer des paquets. 





Nous pouvons voir en détail les flags FIN et ACK de positionnés dans les paquets. 


7" …_ 





000, ,.,,, ..., = Reserved: Not set 

9 .... .... = Nonce: Not set 
9... .... = Congestion Window Reduced (CWR): Not set 
.D.. .... = ECN-Echo: Not set 
0. .... = Urgent: Not set Flags FIN et ACK en fin de 
.1 .... = Acknowledgment: Set 
0,,, = Push: Not set 
.D.. = Reset: Mot set 
0. = Syn: Mot set 


D RC ER 


connexion 


Notre connexion est bel et bien fermée ! 


Conclusion 


Nous avons pu voir grâce au sniffer Wireshark les paquets qui circulaient sur notre réseau, et même suivre en détail le 
déroulement d'une connexion TCP qui a bien confirmé ce que nous avions appris. 


Vus aurez mamtenant la possibilité d'aller voir ce quise passe, en détail, au niveau réseau, si jamais vous avez des problèmes de 
connexlon. 


Le sniffer est un outil mdispensable pour un administrateur réseau dès lors qu'il veut comprendre en détail ce qui peut empêcher 
le bon fonctionnement de celui-ci, donc gardez-le sous la mam. Chaque fois que vous aurez du mal à comprendre un mécanisme 
réseau, ou que vous devrez comprendre en détail ce qui ne marche pas, le sniffer sera votre meilleur allié ! 


Vus connaissez mamtenant les adresses des applications réseau sur notre machine, qui sont les ports. 
Vus savez mamtenant que la couche 4 contient deux protocoles, TCP et UDP, qui diffèrent, car TCP est en mode 
connecté. 

e Etenfin, vous avez pu comprendre concrètement ce qui circulait sur le réseau grâce à l'utilisation d'un sniffer. 


S1 vous êtes arrivés jusqu'ici en étudiant correctement le cours et en faisant l'effort de bien le comprendre et de mettre en pratique 
les TP, vous connaissez mamtenant le réseau ! 


Maintenant que nous avons une vision globale des couches réseau et que nous avons fait un peu de pratique, nous allons voir 
comment rendre nos applications joignables quand elles se situent sur un réseau privé, comme derrière une box chez vous. 
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La NAT et le port forwarding 


Dans ce chapitre, nous allons voir pourquoi il a été nécessaire de mettre en place la NAT sur Internet, puis comprendre ce que 
c'est et à quoi elle sert. 

Nous verrons ensuite quelques exemples pratiques de mise en place de NAT. 

Attention, c'est un chapitre qui n'est pas simple et qui très important, alors prenez bien le temps de comprendre et d'assimiler ce 
qui y est expliqué ! 


Pourquoi la NAT ? 
Un peu d'histoire 


Les problèmes 
En fait, la NAT vient répondre à deux problèmes majeurs, le second problème étant engendré par le premier. 
Il y a tout d'abord eu un problème de pénurie d'adresses sur Internet auquel une réponse apportée a été de spécialiser certaines 
plages d'adresses IP pour une utilisation privée. Cela a engendré un second problème qui est de pouvoir accéder à Internet en 
utilisant ces adresses IP privées. 
Examinons-les un par un. 


Le problème number one 


Nous avons vu qu'Internet était composé de réseaux connectés entre eux. 


©) Mais combien de machines Internet peut-il contenir ? 


€) Y a-t-l une limite ? 
2 Quel serait le facteur limitant ? 


En fait, si vous vous souvenez de la couche 3, il y a bien un facteur limitant au nombre de machines possibles sur Internet, c'est 
le nombre d'adresses IP disponibles . 







932 


En effet, une adresse IP est codée sur 4 octets, soit 32 bits. Flle peut donc prendre valeurs, soit environ 4 milhards. 





© Il peut donc y avoir 4 milliards d'adresses IP dans le monde. 


C'est beaucoup... ou pas. 
En effet, à l'échelle d'Internet et de sa croissance, 4 milhards c'est bien peu. Et d'ailleurs, nous avons quasiment utilisé tous les 
blocs d'adresses disponibles sur Internet. Nous ne pouvons plus rajouter de nouvelles machines sur Internet. 


ici des tableaux représentant l'utilisation des blocs d'adresses sur Internet, en 1993, 2000 et 2007. Chaque chiffre correspond au 
premier octet d'un bloc d'adresses (par exemple la case 52 représente tous les réseaux commençant par 52, soit 52.X.X.X) 
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Blocks assigned — 1993 


Utilisation des blocs 


en Los Le Lee : 


= 


rose des 





d'adresses IP en 1993 


m L | Allocated 
Blocks assigned — 2000 [| Unavailable 
|__| Available 





Utilisation des blocs 








d'adresses IP en 2000 
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Blocks assigned — 2007 vanne 


= Available 


EE CDENEIES 





EICIEZ 
es | es | es | e7 | es | © | 7 | mn | 72] 78 | 74 
OCOCICOEIEICICICICICI 
DOODDOODOOOIEE 
TES 114 | 115 | 116 | 117 | 118 | 119 23 | 124 | 125 [ee 126 EF Utilisation des blocs 
ET 132 13 38 | 139 | 140 [441 | 142 | 143 | 


[128 EEE 

144 L3 148 a. 148 | 149 | 150 | 151 | 152 | 153 | 154 | 155 ” 156 | 157 | 158 | 159 | 
160 | 161 163 | 164 | 165 | 166 | 167 | 168 | 169 | 170 | 1 175 | 
ee LL note ns CIEC Li _188 | CAECS 
162 ESEIE 





d'adresses IP en 2007 


On peut voir sur les images précédentes que, dès 2007, les plages disponibles étaient restremtes. On considère que la totalité des 
plages étaient utilisées en juin 2012. Aujourd'hui, l'organisme qui gère la distribution des adresses sur Internet utilise tous ses 
moyens pour libérer certaines grandes plages afin de rendre de nouvelles adresses disponibles, mais la fin est proche... 





© Quoi? Comment peut-on garder son calme alors que la fin de l'évolution d'Internet est proche ? à | 


Il suffit d'avoir un flegme naturel et extraordinaire. 5) 


Ou bien il suffit de savoir que la NAT répond à une partie du problème posé par la pénurie d'adresses et surtout qu'un nouveau 
standard de protocole IP est en cours de mise en place et réglera ce problème. Il s'agit d'IPvw6, que nous verrons un peu plus tard. 


La solution temporaire, l'adressage privé 
Les personnes qui géraient Internet se sont dit à un moment donné que, vu que certains réseaux étaient privés et que les 
machines sur ces réseaux n'avaient pas besoin d'être jointes depuis Internet (elles étaient de simples clients, mais pas des 


serveurs ), 1l n'était pas nécessaire de leur fournir une adresse IP publique à chacune d'entre elles. 


Ains1, on s'est dit qu'on pourrait donner des adresses IP privées à ces machines. 


© Euh... C'est quoi, une adresse privée ? 


C'est une adresse qui a été réservée pour une utilisation privée. 
En gros, on a réservé une certaine plage d'adresses pour une utilisation privée. Cette plage d'adresses n'est donc pas utilisée 
sur Internet, elle est réservée pour tous les réseaux du monde entier qui n'ont pas besoin d'être joints depuis Internet. 





© Si l'adresse que vous obtenez derrière votre box commence souvent par 192.168.xx ou 10.xxx, ce n'est pas un hasard ! 


Par exemple, dans mon école, les élèves ont besoin d'accéder à Internet, mais ne font pas tourner de services qui ont besoin 
d'être accessibles. Un adressage privé est donc tout à fait adapté ! 


© Mais comment ont été choisies ces adresses ? 
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La RFC 1918 
Comme nous l'avons vu dans le chapitre sur l'adressage IP, la RFC 1918 précise les adresses à utiliser sur un réseau local. 
Ce document dit en gros que si vous voulez créer un réseau local, vous devez utiliser des adresses réservées pour un réseau 
privé parmi les suivantes: 
10.0.0.0/8 
172.16.0.0/12 
192.168.0.0/16 


Vilà, vous savez mamtenant quelles adresses utiliser sur votre réseau local. Toutefois, la plupart du temps, c'est votre box qui 
vous donne une adresse et qui vous impose l'utilisation d'une adresse parmi ces plages. 


©) Mais que se passe-t-il s1 l'on ne respecte pas les plages indiquées par la RFC ? 


Déjà, ce n'est pas bien de ne pas respecter les normes d'Internet ! (4 





Cependant, ça fonctionnera. ou presque. 
Vus arriverez à aller partout sur Internet, sauf sur les réseaux à qui appartiennent réellement les adresses que vous avez 
utilisées. 


Ce n'est pas clair ? Prenons un exemple. 


Vus venez de recevoir votre tout nouveau routeur, et vous souhaitez connecter entre elles vos machines chez vous. Au moment 
de choisir un adressage pour le réseau, vous prenez arbitrairement le réseau 74.125.230.0/24 (c'est un peu tordu comme choix, 
mais bon {}) 

Vus branchez les machines entre elles et essayez de les pinguer... ça marche ! 

Vus configurez le routeur comme passerelle par défaut, vous le branchez à Internet et essayez de naviguer... ça marche encore ! 
Cool ! Tout semble marcher à merveille. 

Vus jouez à vos jeux préférés, envoyezet recevez vos mails, tout va bien. 

Puis, vous essayez d'aller sur Google pour faire une recherche et là, patatras, ça ne marche pas ! 

Tout fonctionne, sauf Google. 


© Que se passe-t-il ? 


Sans le savoir, vous avez choisi le même réseau que celui des serveurs de Google 74.125.230.0/24. C'est ce qui explique que 
vous ne puissiez plus les joindre désormais. Nous allons voir ce quise passe exactement. 





Regardons ce quise passe au niveau de votre machine. 


Pour mieux comprendre, regardons notre table de routage. Elle doit ressembler à cela : 











Table de routage de notre machine 


Réseau à joindre 
74.125.230.0/24 74.125.230.1 


Ainsi, quand nous essayons de nous connecter à www.google.fr qui a comme adresse IP 74.125.230.84, notre table de routage 
nous dit qu'il faut rester sur le réseau local. Donc notre requête ne partira pas sur Internet et nous n'aurons jamais de réponse 
de Google. 





Le fait d'avoir choisi arbitrairement une plage d'adresses en dehors de celles préconisées par la RFC 1918 nous empêche 
d'accéder aux vrais réseaux qui possèdent ces adresses. 

À l'inverse, étant donné que les réseaux de la RFC 1918 n'appartiennent à personne sur Internet, nous sommes sûrs de ne pas 
nous priver d'accès à quelque réseau que ce soit en les choisissant. 


Vus saurez donc maintenant choisir proprement vos adresses pour vos réseauxs1 vous devezen créer. 
à Vous aurez peut-être remarqué, s1 vous essayez de pinguer Google, que vous avez obtenu une autre adresse IP pour le 
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A serveur Google que celle que j'ai indiquée. C'est normal, car Google possède des milliers de sites identiques sur Internet 
\ pour garantir la disponibihté du service. Il y a donc de très nombreuses adresses IP possibles pour les serveurs de 
Google. 


Mais revenons à nos moutons et à notre second problème ! 


Le problème number two ! 


Nous avons compris que la NAT allait permettre à nos machines possédant des adresses privées sur notre réseau local d'aller 
quand même sur Internet comme s1 elles possédaient des adresses IP publiques. 


Description du problème 


Imaginons que vous êtes chez vous, derrière votre box, avec un adressage privé en 192.168.0.0/24. 
tre machine a comme adresse 192.168.0.1/24. 


ici ce quise passerait si nous n'avions pas de NAT et que nous voulions joindre un site sur Internet comme www.siteduzero.fr 
qui a comme adresse IP 217.70.184.38 au moment de ma requête. 


tre machine fabrique une jolie trame à envoyer sur le réseau avec le contenu suivant: 


Adresse MAC | Adresse MAC | Protocole de @IP source, (@IP destination, www.siteduzero.fr soit CRC 
DST SRC couche 3 192.168.0.1 217.70.184.38 





1rame Ethernet, qui contient le datagramme IP 


Nous avons présenté, dans la trame précédente, à la fois les mformations de couche 2 ET les nformations de couche 3, 
vu que celles-ci sont encapsulées dans la trame de couche 2. 





À 


Cette trame va, par la suite, aller de routeur en routeur sur Internet en fonction de son adresse IP destination qui est ic1 
217.70.184.38, et la trame va donc bien aller jusqu'à www.siteduzero.fr. 


Tout se passe bien, ouf! 

Mais attention au retour... 

Le Site du Zéro va nous répondre, à l'adresse spécifiée comme adresse IP source dans le datagramme d'origine... 

Et patatras, cette adresse est une adresse privée (192.168.0.1) qui n'appartient à personne sur Internet et quine peut donc pas 
être routée ! 

Notre trame va donc arriver à un routeur au cœur d'Internet, qui va la bloquer, car il sait qu'une adresse privée n'est pas censée se 


balader sur Internet. 
Dans ce cas, nous n'aurons jamais notre réponse de la part de Google. ( 





De manière générale, nous n'aurons jamais de réponses à des requêtes envoyées sur Internet quand nous utilisons des 
adresses privées. 
Il va falloir trouver une solution à ce problème, et cette solution, c'est la NAT ! 


Fonctionnement de la NAT 

Principe 
Nous avons identifié le problème. Quand un paquet est envoyé sur Internet, la réponse ne revient pas, car l'adresse IP 
destination est une adresse privée. 


Or, cette adresse IP destination dans la réponse est en fait l'adresse IP source qui était mdiquée dans la requête ! 


Il faudrait donc que cette adresse IP source, qui est privée, puisse être remplacée par une adresse publique. C'est là tout le 
principe de la NAT ! 


Un peu de vocabulaire 


Il existe deuxtypes de NAT différents, la NAT dynamique et la NAT statique. 


e La NAT dynamique associe n adresses privées à une seule adresse publique. Ainsi, on peut connecter n machines en 
n'utilisant qu'une seule adresse publique. On économise donc des adresses. 
e En NAT statique, on fixe une adresse publique pour chaque adresse privée. On n'économise donc. rien du tout ! 
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Dans la suite du cours, nous ne nous intéresserons qu'à la NAT dynamique, la NAT statique étant aujourd'hui très peu utilisée, 
car elle ne répond pas au problème de la pénurie d'adresses IP. 


Fonctionnement de la NAT dynamique 


I nous faut maintenant changer l'adresse IP source dans un paquet envoyé sur Internet pour y mettre une adresse IP publique. 


© Mais laquelle choisir ? 


C'est simple, nous allons tout simplement utiliser l'adresse IP du routeur qui fait la haison entre notre réseau privé et Internet, 
réseau public. En effet, ce routeur possède une adresse IP publique du côté d'Internet. 


Prenons l'exemple de votre réseau chez vous, derrière votre box Internet. 





62.238.22.47 





#54 Réseau local derrière box Internet 


192.168.0.0/24 





Les adresses locales sont sur le réseau 192.168.0.0/24 qui est bien un réseau privé. On voit bien aussi l'adresse 82.238.22.47 qui 
est l'adresse publique de notre box (choisie au hasard) 


Regardons mamtenant ce quise passe dans le cas de la NAT lors de l'envoi d'un paquet sur Internet. 
Étape 1. envoi sur le réseau local d'une requête au Site du Zéro : 


Adresse Adresse MAC de Protocole de @IP source, @IP destination, www.siteduzero.fr CRC 
MAC Box 192.168.0.1 couche 3 192.168.0.1 soit 217.70.184.38 


Trame Ethernet en sortie de la machine 192.168.0.1 








r 


Etape 2, NAT du paquet par le routeur: 





Adresse MAC routeur | Adresse Protocole de @IP source, @IP destination, www.siteduzero.fr | ,,,- 
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LIN 


sur Internet MAC box couche 3 1922382247 soit 217.70.184.38 





Trame Ethernet en sortie de la box 


On voit bien ici que l'adresse IP source a été changée pour mettre celle de la box. 


Ainsi, notre paquet va aller jusqu'au Site du Zéro, et celui-ci va répondre à l'adresse IP 82.238.22.47 qui est celle de notre box. 


Mais comment la box va pouvoir renvoyer le paquet à la bonne machine sur le réseau local ? Que se passe-t-il s1 
? plusieurs machines font des requêtes en même temps sur le Site du Zéro ? 





C'est une très bonne question ! 

Pour l'instant, notre boxn'a aucun moyen de savoir à quelle machine en interne elle doit renvoyer le paquet, mais nous allons voir 
que nous pouvons utiliser les ports de la couche 4 pour ajouter une mformation quinous permettra de savoir quelle machine a 
envoyé la requête ! 


Utilisation des ports de la couche 4 
Lors de l'établissement d'une connexion, que ce soit en TCP ou en UDP, un port source est choisi par la machine qui émet la 


requête. Nous allons nous servir de ce port pour identifier la machine qui a émis la requête à l'origme. Sachant que ce port est 
choisi aléatoirement entre 1024 et 65535. 


Sinous reprenons l'envoi de la trame et y ajoutons les mformations de couche 4, cela donne: 


Port 
Adresse MAC | Adresse MAC de Protocole de Port source _. 
192 168.01 Prune u 192.168.0.1 | 217.70.184.38 10277 RE 





Trame Ethernet en sortie de la machine 192.168.0.1 


La box va recevoir ce paquet et pouvoir noter la correspondance entre l'adresse IP source 192.168.0.1 et le port source utilisé 
10277. 


En fait, elle note même un quadruplet d'informations dans une table, la table NAT ! 


LEONE 


@IP SRC, @IP DST, port SRC, port DST | @IP SRC, @IP DST, port SRC, port DST 
192.168.0.1, 217.70.184.38, 10277, 80 82.238.22.47, 217.70.184.38, 10277, 80 


On a d'un côté les informations sur le réseau local, et de l'autre les mformations à la sortie de la box, après que la NAT ait eu lieu. 





Regardons mamtenant le paquet renvoyé par la box: 


PRESS IECHUEUr Ace Haies de 82. 238.22.47 | 217.70.18438 | source | destination | CRC 
sur Internet MAC box couche 3 


Trame Ethernet en sortie de la box 





Le Site du Zéro va répondre à cette requête, et 1l va envoyer un paquet à notre box: 


Port Port 
PME S MUC GUAM AGREE AENC Eure | PO IE Re 217.70.184.38 |82.238.22.47 | Source |ldestmation 
sur Internet du zéro couche 3 80 10277 


Trame Ethernet en sortie du Site du Zero 





La boxrecevant ce paquet va pouvoir regarder dans sa table NAT et voir que celu1-c1 doit être naté en sens mverse et renvoyé à 
192.168.0.1. 


Table NAT 





@IP SRC, @IP DST, port SRC, port DST | @IP SRC, @IP DST, port SRC, port DST 
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192.168.0.1, 217.70.184.38, 10277, 80 82.238.22.47, 217.70.184.38, 10277, 80 





Ainsi, notre machine 192.168.0.1 qui a envoyé une requête sur Internet, avec son adresse IP privée, va quand même pouvoir 
recevoir la réponse. 
N'est-ce pas magnifique ? D 


Enfin, presque... 

Nous n'en avons pas encore tout à fait fini avec la NAT dynamique. 

Imagmons, par le plus grand des hasards, que deux machines sur notre réseau local fassent une requête vers le Site du Zéro, en 
utilisant le même port source. 


La table NAT de la boxserait la suivante: 


Table NAT 


@IP SRC, @IP DST, port SRC, port DST | @IP SRC, @IP DST, port SRC, port DST 


192.168.0.1, 217.70.184.38, 10277, 80 82.238.22.47, 217.70.184.38, 10277, 80 


192.168.0.2, 217.70.184.38, 10277, 80 82.238.22.47, 217.70.184.38, 10277, 80 





On se rend alors compte que les mformations à droite dans le tableau sont parfaitement identiques. 
Au retour d'un paquet appartenant à l'une ou l'autre des connexions, la box n'aura aucun moyen de savoir s1 c'est 192.168.0.1 ou 
192.168.0.2 qui doit recevoir la réponse... 


Donc le choix du port source comme élément différenciateur n'est pas suffisant. Il va encore falloir trouver une astuce. 

La box entre en jeu 
En fait, 1l y a un moyen simple de s'assurer que toutes les requêtes qui sortiront n'auront jamais le même port source, il suffit que 
ce soit la box qui le fixe. 


Ainsi, la box modifiera à la fois l'adresse IP source ET le port source. 


Par rapport à notre cas précédent, ça donnerait la table NAT suivante : 


Table NAT 
@IP SRC, @IP DST, port SRC, port DST | @IP SRC, @IP DST, port SRC, port DST 


192.168.0.2, 217.70.184.38, 10277, 80 82.238.22.47, 217.70.184.38, 2357, 80 





192.168.0.1, 217.70.184.38, 10277, 80 82.238.22.47, 217.70.184.38, 2356, 80 


On voit mamtenant que lorsqu'un paquet reviendra avec comme port destination 2356, la box saura qu'il s'agit d'un paquet à 
destination de 192.168.0.1 et que, lorsqu'il reviendra avec comme port destination 2357, ce sera pour la machine 2357. 





© Vu que c'est la box elle-même qui choisit le port source, on est sûrs qu'on n'aura jamais deux fois le même port ! 


Récapitulons un peu ce que nous venons de voir. 


La NAT dynamique récapitulée 


Nous avons vu que la NAT dynamique permettait à des machines connectées sur un réseau local à adressage privé d'accéder à 
Internet en utilisant l'adresse IP publique du routeur qui fait la liaison entre le réseau mterne et Internet. 

Ains1, on économise beaucoup d'adresses IP, car on n'utilise qu'une seule adresse publique pour toutes les machines quisont 
sur le réseau privé. 


© Mais y a-t-il une limite au nombre de machines sur le réseau privé ? 


Théoriquement, oui. 
Etant donné que la boxne peut allouer que 65535 ports, s'ils sont tous utilisés, la boxne peut pas accepter de nouvelle 
connexlon. 
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Ainsi, S1 l'on a 65535 machines qui ouvrent chacune une connexion, on atteint les limites. 

Or, la plupart du temps, les machines ont plus d'une seule connexion ouverte. En considérant qu'une machine ouvre en moyenne 
une dizaine de connexions en parallèle, on peut estimer raisonnablement pouvoir brancher 6000 machines derrière un routeur qui 
fait de la NAT. 


En pratique, avoir une unique adresse IP pour 6000 machines est quand même rare, car les entreprises qui ont autant de machines 
ont souvent plusieurs adresses IP publiques à leur disposition et cette limite due à la NAT n'est quasiment jamais étudiée n1 
atteinte. 


Quoi qu'il en soit, pour ce qui vous mtéresse, vous ne devriez jamais attendre cette limite chez vous, derrière votre box. eo 


Des problèmes encore des problèmes 


Et des solutions ! 
En effet, depuis le début de notre cours, nous avons souvent identifié des problèmes mais nous avons réuss1chaque fois à y 


apporter des solutions. Ca 





Nous avons vu que nous nous servions des ports pour réaliser la NAT dynamique. Les ports existent en TCP et UDP, 
mais quid d'autres protocoles qui n'ont pas de ports ? Je pense à ICMP que nous avons vu, ou encore à ARP... 





En fait, des solutions spécifiques sont mises en place pour à peu près tous les protocoles existants. On étudie le contenu des en- 
têtes pour y trouver des éléments qui sont propres à chaque connexion, et on peut alors suivre les connexions individuellement. 


©) Qu'en est-il du protocole ARP ? 


Les plus perspicaces d'entre vous l'auront compris. 
ARP n'est pas concerné par la NAT vu que c'est un protocole local basé sur le broadcast. Il ne passe donc jamais à travers un 
routeur et n'est donc jamais concerné par la NAT. 





Cependant, nous avons encore des problèmes à étudier, et un problème majeur ! 


Accéder à Internet c'est bien, mais pouvoir être joint c'est mieux ! 


En effet, grâce à la NAT dynamique, nous pouvons sortir sur Internet en ayant une adresse privée. 
Par contre, il n'est pas possible à quelqu'un de nous joindre de l'extérieur. 


Nous n'avons qu'une seule adresse publique et n adresses privées. Ainsi, lors de l'établissement d'une connexion depuis 
l'extérieur, le routeur n'a aucun moyen de savoir pour quelle machine privée est la requête. 

Quand c'est une machine mterne qui initialise la connexion, le routeur peut noter les mformations de connexion et ainsi identifier 
le paquet au retour. Par contre, quand le premier paquet d'une connexion arrive de l'extérieur, le routeur n'a aucun moyen de 
savoir pour qui est la requête. Ê3 
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Initialisé de 
l'extérieur 
NOK 


12.238.224 7 


Initialisé de 
l'intérieur 
OK 


192.168.0.0/24 








Comme toujours, nous allons trouver une solution à ce problème ! 


Imaginons que nous faisons tourner un service sur notre machine sur le réseau local privé. Par exemple, un serveur web qui 


tourne sur le port 80 de la machine 192.168.0.1. 


Sens de connexion possible avec la NAT 
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des machines d'Internet de nous joindre directement. 
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62.236.22.47 





#54 Réseau local avec serveur web 


192.168.0.0/24 






Serveur WEB 
sur le port 80 


Si quelqu'un veut accéder à notre réseau, la seule porte d'entrée est l'adresse IP publique 82.238.22.47. S'il s'adresse au port 80 de 
ce routeur, 1l y a deux cas possibles : 


e soit il y a un serveur web sur le routeur et la personne tombera dessus ; 
e soitiln'y a pas de serveur web et le routeur renverra une erreur ICMP port unreachable. 


Mais dans les deux cas, la personne n'arrivera pas sur notre Joh site web local. 


Il y a pourtant bien une solution, il est possible de dire à notre routeur de rediriger la requête spécifiquement vers notre machine 
192.168.0.1 en fonction du port sur lequel la requête a lieu. Cela s'appelle le port forwarding ! 


Le port forwarding 
Principe 


© Le port forwarding consiste à rediriger un port de notre routeur vers un port donné sur une machine locale. 


Pour notre exemple précédent, nous allons dire au routeur que tout paquet arrivant sur son port 80 devra être redirigé vers la 
machine d'adresse 192.168.0.1 sur le port 80. 


Table de port forwarding 


(@IP externe 82.238.22.47 | Port externe TCP 80 | @IP mterne 192.168.0.1 | Port mterne TCP 80 
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82.238.22.47*90 


254 Port forwarding vers notre serveur web 


192.168.0.0/24 


1:80 2 







Serveur WEB 
sur le port 80 


Ainsi, toute personne accédant à notre adresse IP publique sur le port 80 sera automatiquement redirigée, sans même le savoir, 
vers notre serveur web local. 
Notre serveur peut amsi, grâce au port forwarding, être joignable depuis l'extérieur. 


Par conséquent, s1 vous avez plusieurs services sur votre réseau local, comme par exemple un serveur FTP ou un serveur de jeu, 
vous pouvez tout à fait les rendre joignables depuis l'extérieur du réseau. Chacun sera joignable sur un port particulier. 


Ce mécanisme est très intéressant, car seuls les services que nous voulons rendre joignables le seront, et cela présente un gros 
intérêt au niveau sécurité. 


Il est bien sûr possible de rediriger la connexion vers un autre port que celui d'origine. On aurait pu, par exemple, 
rediriger le port 80 vers le port 3000 de la machine 192.168.0.1. I n'y a pas de limitation ! 


Le port forwarding, c'est sécurise ! 


Le fait d'utiliser de la NAT dynamique ainsi que le port forwardmg augmente le niveau de sécurité de votre réseau. 





©) Euh, mais moi j'ai jamais fait de sécurité ! Ça consiste en quoi ? 


Le principe pour votre ordinateur est à peu près le même que pour votre maison. Wus pouvez avoir beaucoup de portes et de 
fenêtres, mais plus 1l y en aura et plus il y aura de possibilités pour entrer dans votre maison. 
Pour un ordinateur, c'est pareil, chaque port ouvert sera une porte ouverte potentielle vers votre ordinateur. 


Quand il n'y avait pas de NAT, chaque machine était connectée à Internet avec sa propre adresse IP publique. Ses 65535 ports 
étaient donc tous potentiellement accessibles. et constituaient potentiellement des portes ouvertes vers la machine. 
Attention, je ne dis pas que les 65535 ports étaient accessibles. Seuls ceux qui étaient en écoute l'étaient, car une application 


tournait derrière. Seulement, peu de gens avaient conscience de tous les ports ouverts sur leur machine. 


Prenons notre exemple précédent et regardons les conséquences. 
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Nous faisons tourner un serveur web sur notre machine 192.168.0.1, mais regardons tous les ports en écoute sur cette machine 
(en imaginant, pour une fois, que cette machine est sous Windows) 


Code : Console 


Cr\MeREsrer an 


Proton Adresse locale Adresse distante Etat 

PéP CAROMOP OZ SE CSC 0e "0 LISTENTNG 
TCP CAROAOMOE PSE GEO CE LÉSTENLNG 
Por OEAOROMU AUS CRSUENO 0e 0 LISTENING 
ICS DRAC CAUSES CPC OR-E PÉSTENLNE 
Tor DEMO AO EE ARMES CR OMERPORC ÉRSTENTNEG 
TCP DÉPMRE SNOIRUIRSS CR OAUOURAE LISTENING 
UDP COR DMORASS AE 

UDP DONS A ORAAUrE de 

UDP RCA C0" AS 

UDP DAOMOPMOR RS 27 ne 

UDP OO GAULLE; AI AS 

UDP COR OMORERS SES GA 

UDP IRON OR IReROTS is 

UDP PRO OARNAIESS D 

UDP RÉPARER C RARE IE ARS ds 

UDP OPA PES AU ARSS Aa 

UDP SAS AUS OC ne 


Nous voyons 1ic1 qu'il y a beaucoup plus de ports ouverts que nous pouvions le penser ! 

En effet, Windows ouvre un certain nombre de ports pour pouvoir partager des fichiers sur le réseau ou fournir d'autres services 
par défaut. 

Quand il n'y avait pas de NAT, notre machine était donc accessible directement depuis Internet, et tous ces ports étaient autant 
de portes ouvertes vers elle. 

D'ailleurs, beaucoup d'attaques ont été menées à cette époque, marquée notamment par la recrudescence des vers. 


applications vulnérables sur les machines, à travers les ports qui sont accessibles. 





© Un ver est un virus quise réplique automatiquement à travers les réseaux comme Internet, en accédant à des 


Il y a eu par exemple, pour les plus connus, MS Blaster ou SQL Slammer. Autant de vers qui ont paralysé énormément de 
machines et de services sur Internet quand ils sont apparus. 


S1, à l'époque, les machines avaient été derrière la NAT, la diffusion de ces vers n'aurait pas été aussi importante, car les ports des 
machines n'auraient pas pu être atteints depuis Internet. 


Un des intérêts majeurs de la NAT et du port forwardmg est de ne rendre accessible QUE ce qui est nécessaire. 

Dans notre exemple, nous n'aurions mis en place du port forwardmg que pour le port 80 pour rendre accessible notre serveur 
web. Ainsi, tout autre port potentiellement vulnérable n'aurait pas été joignable depuis Internet, et les vers ou autres virus 
n'auraient pas pu se répandre de la sorte. 


En plus de répondre à la problématique de la pénurie d'adresses, la NAT et le port forwarding ont donc apporté une 
grande amélioration au niveau sécurité, en ne rendant accessibles QUE les ports nécessaires. 





À 


Ainsi, votre box, faisant de la NAT, protège vos machines sur votre réseau local. Merci la box ! (7% 





Nous avons donc vu comment mettre en place de la NAT dynamique afin de donner accès à Internet à des machines ayant des 
adresses privées. 

Nous avons aussi vu comment rendre Joignables nos machines sur un réseau privé grâce au port forwarding. 

Enfin, nous avons vu comment la NAT et le port forwardimg avaient mdirectement amélioré le niveau de sécurité d'Internet et 
de tous les réseaux privés. 


Le tableau semble bien rose, mais 1l y a pourtant un inconvénient majeur au port forwardimg.… 
La limite du port forwarding 


En effet, nous avons vu dans notre exemple que nous pouvons rendre notre serveur web joignable sur Internet. 


Www.openclassrooms.com 


Partie 3 : Communiquer entre applications 176/220 





© Mais que se passe-t-il s1i nous avons deux serveurs web sur notre réseau local ? 





Eh bien c'est la catastrophe ! 

Étant donné que nous n'avons qu'un seul port 80 disponible, nous ne pourrons pas le rediriger vers nos deuxserveurs web, il va 
falloir faire un choix. 

Au pire, nous pourrions rediriger un autre port que le port 80, comme le 81, mais cela ne respecterait pas les standards d'Internet. 


Cela obligerait notamment les personnes voulant accéder à ce site à mdiquer le port directement dans l'URL du 
navigateur, comme par exemple http://www.siteduzero.com:81. 


Ce n'est donc pas une solution satisfaisante. 

Malheureusement pour nous, nous atteignons une limite du port forwarding qui imite à un seul serveur sur le réseau local par 
port dis ponible. 

Donc un seul serveur web, un seul serveur ssh, un seul serveur DNS, etc. 


C'était trop beau. { "2 





Toutefois, je vais vous rassurer, il existe quelques solutions qui permettent, pour certains services, de mettre un nombre illimité 
de serveurs derrière une unique adresse IP publique. Mais, étant donné que ces solutions sont applicatives, de couche 7, nous 
ne les verrons pas dans ce cours dédié au réseau. 


Il est temps maintenant de mettre vos connaissances en pratique ! 
Exercice pas si facile ! 


Enoncé 


Vus venez d'être embauché en tant qu'administrateur systèmes et réseaux dans l'entreprise Zéro & Cie. 
L'ancien administrateur a dû partir précipitamment et vous a laissé un projet à réaliser. 
La société possède sur son réseau privé 10.0.0.0/23 quelques serveurs : 


e 5Sserveurs SSH (port TCP 22) (10.0.1.1,10.0.1.2,10.0.1.3,10.0.1.4,10.0.1.5) ; 
e 4serveurs web (port TCP 80) (10.0.1.6,10.0.1.7,10.0.1.8,10.0.1.9) ; 
e et 2 serveurs DNS (port UDP 53)(10.0.1.10,10.0.1.11). 


De plus, 1l y a environ 250 salariés dans l'entreprise qui ont leurs adresses de 10.0.0.1 à 10.0.0.254. 
L'ancien administrateur a acheté une plage d'adresses sur Internet qui est la suivante: 
194.34.56.0/29 


On vous demande d'écrire la table de port forwardmg du routeur qui fera la liaison entre le réseau privé et Internet. Sachant que 
ce routeur pourra donc avoir toutes les adresses du réseau public sur son interface réseau externe. 





À vous de dire si cette mise en place est possible, et si oui, de proposer votre solution de NAT dynamique et port 
forwarding. 


Secret (cliquez pour afficher) 


Pour résoudre cet exercice, 1l va falloir prendre les problèmes un par un. 


Déjà, nous allons calculer l'étendue de la plage d'adresses publiques à notre disposition. 
En écrivant le masque en décimal, nous avons : 
194.34.56.0/255.255.255.248 


En utilisant la méthode du nombre magique, nous trouvons un nombre magique de 8 (256-248) 

La première adresse du réseau étant 194.34.56.0, la dernière sera 0+8-1-7 soit 194.34.56.7 

Nous aurons donc sur ce réseau 8 adresses allant de 194.34.56.0 à 194.34.56.7. Sachant que 194.34.56.0 sera l'adresse de 
réseau et 194.34.56.7 l'adresse de broadcast, il nous restera 6 adresses pour faire notre port forwarding. 


Nous avons 5 serveurs SSH, 4 serveurs web et deux serveurs DNS, ce qui fait 11 serveurs au total. 





©) Mais comment on va pouvoir faire entrer nos 11 serveurs avec seulement 6 adresses ? 


C'est possible ! 


Www.openclassrooms.com 


Partie 3 : Communiquer entre applications 177/220 





S1 vous avez bien compris la imitation liée au port forwarding, on ne peut avoir qu'un seul serveur d'un certain type (SSH 
ou web ou DNS) par adresse IP. 

Or, dans cet exercice nous avons au maximum 5 serveurs d'un même type à rediriger, cela devrait donc fonctionner. 

Il faudra simplement rediriger plusieurs serveurs de types différents sur une même adresse IP. 


Vous comprendrez peut-être mieuxavec la solution. 


Nous avons deux cho: 


e commencer par rediriger tous les serveurs de même type, par exemple commencer par placer tous les serveurs SSH ; 
e commencer par chaque adresse IP. 


Quoi qu'il en soit, nous arriverons de toute façon au même résultat. Nous allons choisir le second choix pour que vous 
compreniez bien le principe. 


On commence par la première adresse IP publique que nous avons à notre disposition. Nous allons rediriger depuis cette 
adresse un serveur de chaque type, étant donné que nous avons plus d'une seule adresse IP : 


Table de port forwarding 





Nous utilisons donc une seule adresse IP publique parmi nos 6 adresses disponibles pour rediriger 3 services différents 
(SSH, web et DNS) vers trois serveurs différents ! 


Nous pouvons mamtenant passer à la seconde adresse IP publique qui va, elle aussi, accueillir trois services différents : 


Table de port forwarding 





(@IP externe 194.34.56.2 | Port externe UDP 53 (DNS) | @IP interne 10.0.1.11 | Port interne UDP 53 


Vu que nous avons déjà placé nos 2 serveurs DNS, il n'y aura plus besoin de placer que deuxservices différents (SSH et 
web) sur la troisième adresse IP publique disponible : 


Table de port forwarding 


(@IP externe 194.34.56.1 | Port externe TCP 22 (SSH) | @IP interne 10.0.1.1 | Port mterne TCP 22 
(@IP externe 194.34.56.1 | Port externe TCP 80 (web) | @IP interne 10.0.1.6 | Port interne TCP 80 
(@IP externe 194.34.56.1 | Port externe UDP 53 (DNS) | @IP interne 10.0.1.10 | Port interne UDP 53 





Et nous pouvons continuer avec les services restants, ce quinous donne une table de port forwarding finale : 
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Table de port forwarding 


Ilnous reste même une adresse IP non utilisée ! C'est le Pérou ! É Ca 








Ceci dit, l'exercice n'est pas encore tout à fait terminé, car il faut auss1 donner accès à Internet à nos 250 utilisateurs. 


Mais ça, c'est facile, 1l suffit d'activer la NAT dynamique sur une de nos adresses IP. 





| , Euh, mais on a déjà 5 adresses prises par du port forwarding, donc on ne peut pas utiliser n'importe laquelle de ces 
adresses, non ? 


En fait, s1! 

Si vous vous souvenez bien, les ports alloués pour les clients sont alloués au-dessus de 1024. Or, ici, les ports utilisés pour 
le port forwarding sont tous en dessous. Nous avons donc, sur chacune de nos 6 adresses publiques disponibles, la 
possibilité de mettre en place de la NAT dynamique pour nos utilisateurs ! 


Et hop, mission accomplie pour notre nouvel administrateur ! (5) 


Nous en avons donc fini avec la NAT et le port forwarding qui sont si utiles aujourd'hui ! 


Vus avez maintenant vu toutes les couches de I à 4. 

Vus connaissez les protocoles réseau associés à ces couches. 

Vus connaissez les mécanismes comme la NAT qui sont nécessaires au bon fonctionnement d'Internet. 
Enfin, vous avez appris toute la théorie des réseaux TCP/IP dont nous avons besoin pour comprendre le 
fonctionnement réseau d'Internet, à travers la compréhension du modèle OSI. 


S1 vous êtes arrivés jusque-là sains et saufs, bravo ! 


Pour s'assurer que vous avez tous bien compris et assimilé le cours, nous allons faire un récapitulatif complet de ce que nous 
avons vu pour bien fixer les idées. 
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On récapitule tout de A à Z ! 


Ça y est, vous avez toutes les connaissances réseau suffisantes pour comprendre comment fonctionne Internet, mais avant 
d'aller plus loin nous allons réviser ce que nous avons vu avec un exercice complet qui va utiliser toutes les connaissances que 
nous avons acquises jusqu'à mamtenant. 


Si vous savez faire cet exercice de À à Z, bravo ! Wus pouvez considérer que vous avez de très bonnes bases en réseau. 
Ceci dit, il est très rare de faire tout de A à Z sans oublier une petite étape. f2 





C'est parti pour un premier chapitre court de présentation de l'exercice ! 


Présentation de l'exemple et principes de résolution 
Nous allons maintenant essayer de suivre une connexion de À à Z avec toutes les connaissances que nous avons. 


ici le schéma réseau qui va représenter notre connexion : 









84.18 1.135.633 


Internet 


Schéma réseau de la connexion 


Box Internet = 


182,168.0.254/24 


192,168.0.1/24 


Nous allons donc détailler une connexion web que vous pourriez faire, de votre machine sur votre réseau chez vous, derrière 
votre box, vers l'adresse 88.191.135.63. 


, Nous aurions pu faire cette requête vers le Site du Zéro, mais celui-ci est désormais hébergé avec un service de 
réplication de site qui s'appelle CloudFlare quine permet pas d'accéder au site avec son adresse IP. 





Comment allons-nous procéder ? 


Effectivement, s1 je vous demande, comme ça, par où commencer, cela peut vous paraître complexe, mais nous allons déjà 
identifier les étapes de la connexion. 


Au départ, notre machine 


Dans un premier temps, la connexion va partir de l'application qui tourne sur notre machine, c'est-à-dire dans notre cas du 
navigateur Firefox. 

Puis 1l va y avoir beaucoup d'étapes avant de réussir à former la trame à envoyer sur le réseau. Pour comprendre chacune de ces 
étapes, nous allons nous appuyer sur notre support principal de compréhension des réseaux, j'a1 nommé... le modèle OST ! 


Comme je vous l'avais dit et comme vous pouvez le concevoir, le modèle OSI permet de comprendre en profondeur le 
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fonctionnement des réseaux, nous allons donc l'utiliser pour détailler le parcours de nos mformations. Et notamment pour l'envoi 


d'une mformation sur le réseau. 
FA application 
6 | presentation 


E 
Envoi 
de 
données À Envoi dans le modèle OSI 
3 
| liaison de 
2 a 
données 
1 





Nous voyons bien ici que nous allons devoir détailler les mformations relatives à chacune des couches avant de pouvoir 
envoyer notre trame sur le réseau, mais nous savons mamtenant dans quel ordre le faire. 


Envoi de la trame sur le réseau 


Nous allons ensuite voir ce qu'il advient de notre trame sur le réseau, quels matériels sont rencontrés, quels protocoles sont 
utilisés, etc. 


D'ailleurs, nous allons encore nous servir du modèle OSI chaque fois qu'un matériel réseau est rencontré. Cependant, cette fois, 
le parcours du modèle OST se fera dans le sens inverse, du bas vers le haut puisque la trame provient du réseau et va vers 
l'application. 


Nous verrons comment la trame parcourt le réseau et ce qui est modifié à chaque passage par un équipement. 


Reception de la trame par la machine destinataire et réponse 


De la même façon que précédemment, nous allons cette fois remonter les couches du modèle OSI jusqu'à la couche 7 applicative. 
Nous verrons comment les informations sont reçues et aiguillées entre les couches et comment l'application reçoit les 
informations de départ et peut les traiter. 


Il est temps de passer au concret, vous pouvez commencer à réfléchir à chaque étape du processus. 


Au cœur de notre machine 


Nous allons voir comment nous allons passer d'une requête applicative de notre navigateur, à une trame qui est envoyée sur le 
réseau. Tout cela se passe au niveau du système d'exploitation de notre machine, et plus précisément dans ce que l'on appelle la 
pile TCP/IP. 


La pile TCP/IP est en fait l'implémentation du modèle OSI dans notre système d'exploitation. Ce n'est rien de plus qu'un 
programme qui effectue les calculs et les requêtes pour fabriquer les éléments des en-têtes de chacun des protocoles 
des couches du modèle OSI. 





De l'application au réseau 
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Nous sommes donc devant notre clavier et entrons dans notre navigateur préféré l'adresse du site que nous voulons atteindre : 
88.191.135.63. 





Ici, nous utilisons l'adresse IP du site à joindre qui est www.lalitte.com, car nous ne savons pas encore utiliser les noms 
de machine et ne connaissons pour l'instant que les adresses IP. 


(€ | : / "à 
SP 88.191.135.63 & | 


On entre la demande dans le navigateur 
Nous allons maintenant voir tout ce quise passe au niveau de notre machine à partir du moment où vous tapezsur la touche 
entrée. 


En couche 7 


Nous sommes au niveau de votre navigateur web, Firefox chez moi, et celu1i-c1 souhaite envoyer une requête sur le réseau vers le 
serveur d'adresse IP 88.191.135.63. 

Firefox va utiliser le protocole applicatif HTTP pour envoyer une requête web. Le protocole HTTP fonctionnant sur TCP, Firefox 
va envoyer sa requête au protocole TCP de couche 4. 

Plus exactement, et pour les connaisseurs du web, voici à peu de chose près la requête applicative qui est envoyée : 


GET http://88.191.135.63 HTTP/1.0 

HOST: 88.191.135.63\r\n 

Accept : text/html,application/xhtml+xml,application/xml;gq=0.9,*/*;q 0.8 

User-Agent : Mozilla/S.0 (Macintosh; Intel Mac OS X 10.8; rv:19.0) Gecko/20100101 Firefox/19.0 
Ce sont donc ces mformations qui vont être envoyées au serveur web 88.191.135.63. 

Pour l'instant, voici où nous en sommes de l'envoi de notre trame finale: 


GET http://88.191.135.63... 


Données applicatives 
En couche 4 


La couche 4 reçoit les mformations précédentes et voit qu'une requête doit être envoyée au serveur 88.191.135.63. 





AN Mais attention ! Avant que la requête puisse être envoyée, il faut d'abord initialiser la connexion TCP ! 


Donc avant de pouvoir envoyer nos données applicatives, nous allons devoir envoyer un segment TCP qui demande à la 
machine 88.191.135.63 s1 elle veut bien ouvrir une connexion avec nous. 

Cette requête ne sera donc qu'une demande d'ouverture de connexion SYN qui ne contient pas de données applicatives. 
Ce premier segment TCP envoyé ne contiendra donc pas de données. 


Il va cependant falloir former l'en-tête TCP. 

Pour former l'en-tête, nous avons notamment besoin des ports TCP utilisés. 

Le port destination est donné par Firefox, c'est le port 80 qui est utilisé par défaut pour le web. 

Le port source est un port choisi aléatoirement au-dessus de 1024, la pile TCP/IP va donc nous donner un port aléatoire, par 


exemple 1337. Cà 


On y ajoute les flags, avec notamment le flag SYN qui est positionné, vu qu'il s'agit de l'inttiahsation d'une connexion. 





Notre trame continue de se former avec pour l'instant le segment TCP: 
SIDE" 
Segment TCP 


On voit bien ici que les données applicatives ne sont pas dans ce segment, elles ne seront envoyées que quandla connexion 
TCP sera établie. 


Maintenant que le segment TCP est prêt, on peut l'envoyer à la couche 3, qui sera ici le langage quasi universel utilisé, IP. 


En couche 3 
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La couche 3 récupère donc les informations de couche 4 ainsi que l'adresse IP destmation. 
Comme la couche 3 est en charge du dialogue entre réseaux et notamment de l'aiguillage des paquets , elle va devoir savoir à 
quel routeur envoyer les mformations. Pour cela, elle va voir sa table de routage, qui pour notre exemple est : 


Table de routage D 


192.168.0.0/24 192.168.0.1 
0.0.0.0/0 192.168.0.254 


Pour aller vers 88.191.135.63, la passerelle à utiliser est 192.168.0.254. 





D 


192.168.0.1 (source) | 88.191.135.63 (destmation) | 1337 [80 | 27? | flags | 27? | checksum 





Datagramme IP contenant le segment TCP 


Mais avant, elle va faire un petit travail supplémentaire pour faciliter le travail de la couche 2, elle va s'occuper de la requête ARP 
pour indiquer à la couche 2 l'adresse MAC à jomdre. 


Elle va donc en premier lieu aller voir dans la table ARP s1 l'adresse MAC du routeur 192.168.0.254 n'est pas déjà présente. 


e Sielle est présente, c'est parfait, on connaît mamtenant l'adresse MAC. 
e Sielle n'est pas présente, un broadcast ARP va être envoyé sur le réseau pour demander l'adresse MAC de 192.168.0.254. 
Le routeur va nous répondre et nous connaîtrons son adresse MAC que nous allons mscrire aussi dans la table A RP. 


Ainsi, la couche 3 va pouvoir envoyer à la couche 2 le datagramme amsi1 que l'adresse MAC de la prochaine machine à joindre. 


les mécanismes réseau réels. Ce n'est pas grave, tout ce que nous voyons nous permet sans problème de comprendre le 


Je suis quand même obligé de vous dire qu'il se passe beaucoup plus de choses et que nous simplifions ici grandement 
À fonctionnement d'Internet sans avoir à rentrer dans les détails. 





En couche 2 


Notre dernière étape avant l'envoi sur le réseau ! 


La couche 2 possède maintenant tous les éléments pour envoyer la trame sur le réseau, elle va donc pouvoir la former: 


@MAC @MAC proto 3 | 7? 2 de 
192 168.0.254 192 168.0 1 [P 9 192.168.0.1 | 88.191.135.63 | 1337 9 flags ) checksum | CRC 





Trame Ethernet qui contient le Datagramme IP contenant le segment TCP 


| , Sivous ne vous souvenez plus très bien des champs de chaque couche, n'hésitez pas à revenir quelques chapitres en 
arrière pour comprendre chacun d'entre eux. 





La couche 2 va pouvoir alors envoyer cette trame sous forme de 0 et de 1 sur le réseau ! 
Allez, pour le plaisir je vous donne un aperçu de ce que cela peut donner en hexadécimal (en binaire ce serait un peu long...) 


Code : Console 


DIRES OR EL OMS TEC ROUSSEL RON NNSTNUENONSTS SCC 
OO AUS CN EST OR COTON Se EN EU ON SE MCE Ur 
DISEASE CROIS ENS UE COST 272 00 UOMROUNRUCRLURUEZ 
PEN ESS = DE AOURUON O2 OL EU SARL TAN OS MUS SOIR OMAN 
GONE ETES CAN ST SES NON ON ONCE 0 NON ANG SONGS 10 


Les plus aventureux pourront s'amuser à décrypter le contenu ! C'est une vraie trame Ethernet. 
En plus, comme je suis sympa, je vous donne un aperçu du contenu réel pour voir si vous avez eu juste : 
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Secret (cliquez pour afficher) 






















































































Ib Frame 25: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) on interface 0 
b Ethernet II, Src: Apple 16:21:84 (00:26:bb:16:21:84), Dst: Vmware b0:11:46 (00:50:56:b0:11:46) 
P Internet Protocol Version 4, Src: 10.8.63.233 (10.8.63.233), Dst: 10.4.144.100 (10.4.144.100) 


D Transmission Control Protocol, Sre Port: 60888 (60888), Dst Port: http-alt (8080), Seq: 0, Len: 0 


Contenu de la trame Ethernet 




















Wilà donc notre trame partie sur le réseau (à la vitesse de la lumière, s1s1, pour de vrai !) 
Nous allons maintenant voir quel est le premier équipement qu'elle va rencontrer sur le réseau et comment 1l va la recevoir. 


Sur le réseau 
Un long voyage réseau 


Enfin, long pour nous qui étudions tout ce parcours étape par étape, car je vous rappelle que dans la réalité, tout cela se fait en 
quelques milisecondes… 


Premiere rencontre sur le réseau 


D'après vous, quel est le procham matériel rencontré par notre trame ? 
Je vous rappelle le schéma : 







84.18 1.135.633 


Schéma réseau de la connexion 


Box Internet 52,238,22.47 


1592,168.0.254/24 


192,168.0.1/24 


Et le prochain matériel rencontré est... un switch ! 


Nous ne le voyons pas sur le schéma, car il s'agit d'un schéma logique de couche 3, mais 1l y a bien un switch entre nous et la 
box. 


switch. Et comme cela nous imtéresse de bien étudier toutes les étapes de la connexion, nous allons faire comme s'il y 


En fait, 1l est fort possible que vous soyez directement connectés à votre box, mais elle peut se comporter comme un 
À avait un switch entre nous et la box. 





Le switch reçoit donc notre trame, mais comme c'est un équipement de couche 2, ilne comprend que le protocole Ethernet et ne 
peut lire que les mformations de l'en-tête Ethernet. 
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@MAC 192.168.0.254 | @MAC 192.168.0.1 


Trame Ethernet qui contient. des choses 
Le switch va donc pouvoir lire la trame et notamment l'adresse MAC source et l'adresse MAC destination. 


Grâce à l'adresse MAC source, il va pouvoir mettre à Jour sa table CAM en mdiquant sur quelle prise est branchée la machine 
192.168.0.1 (ou simplement remettre le TTL de cette association au maximum). 

Ensuite, grâce à l'adresse MAC destination, 1l va pouvoir identifier la prise sur laquelle 1l doit renvoyer la trame. 

Il va donc récupérer toute la trame, l'analyser et la réémettre sur la prise adéquate. 


Et notre trame est repartie sur le réseau ! 


En route pour le routeur 


Notre trame arrive ensuite au routeur. 
Le routeur va lire la couche 2... 


A Mais non, le routeur est un équipement de couche 3! () 


En réseau, qui peut le plus peut le moins ! 

Un équipement de couche 3 saura donc parler tous les protocoles des couches inférieures. Sinon, il ne pourrait pas renvoyer les 
paquets sur le réseau en passant par la couche 2 ! 

D'ailleurs, l'un des éléments les plus évolués du réseau est... votre machine, car vu qu'elle est capable de parler au niveau 
applicatif (couche 7), elle connaît tous les protocoles des couches mférieures. 


Le routeur lit donc la trame et l'en-tête de couche 2. 

Il voit que l'adresse MAC destination est la sienne ! Il va donc pouvoir lire le reste du contenu et envoyer le datagramme à la 
couche 3. 

Il lit notamment le CRC en fin de trame et vérifie qu'il n'y a pas eu d'erreur de transmission pendant le trajet. 

Si tout va bien, il remonte le datagramme à la couche 3. 


192.168.0.1 (source) | 88.191.135.63 (destination) | 1337 [80 | 277 | flags | 7? | checksum 


Datagramme IP contenant le segment TCP 





La couche 3 lit le contenu de l'en-tête et voit que l'adresse IP de destination n'est pas la sienne (ce qui est bien normal pour un 
routeur qui ne cesse d'aiguiller des paquets quine sont pas pour lui) 


Il doit donc maintenant aiguiller ce paquet vers son réseau de destination. Pour cela, vous le savez maintenant, 1l va voir sa table 


de routage: 
192.168.0.0/24 192.168.0.254 


82.238.22.0/24 82.238.22.47 


Sa route par défaut lui dit d'envoyer le paquet vers Internet. 


A MAIS... 


Oui, comme moi, vous avez remarqué un point très important. (5) 





Nous allons passer d'un réseau privé 192.168.0.0/24 à un réseau public 82.238.82.0/24 ! 
Et quand on passe d'un réseau privé à un réseau public, il faut faire de la NAT. 


Notre routeur a donc besoin de faire de la NAT, et pour cela, 1l va devoir aller lire les informations de couche 4. Ça tombe bien, 
elles sont contenues dans l'en-tête TCP quiest contenu dans le datagramme ! 
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Le routeur récupère donc les ports source et destination, 1337 et 80. 


Il va choisir à son tour un port source pour l'envoi du paquet et va noter tout cela dans la table de NAT dynamique: 


Table NAT 


@IP SRC, @IP DST, port SRC, port DST | @IP SRC, @IP DST, port SRC, port DST 
192.168.0.1, 88.191.135.63, 1337, 80 82.238.22.47, 88.191.135.63, 22385, 80 


Il va donc modifier les informations de couche 4 et de couche 3 avant de renvoyer la trame sur le réseau. 
Avant cela, il fait une requête A RP pour obtenir l'adresse MAC du prochain routeur. 
Il peut alors envoyer le nouveau datagramme à la couche 2 : 


82.238.22.47 (source) | 88.191.135.63 (destination) | 22385 [80 | 72? | flags |??? | checksum 


Datagramme IP modifié pour la NAT segment TCP 








La couche 2 reçoit le datagramme ainsi que l'adresse MAC destination et n'a plus qu'à former la nouvelle trame à envoyer sur le 
réseau 





9 o 

@MAC procham | @MAC proto 3 | ?? À 
82.238.22.47 | 88.191.135.63 | 22385 ? | flags | ? | checksum | CRC 

routeur 82.238.22.47 IP U 9 9 


Trame Ethernet qui contient le Datagramme IP contenant le segment TCP 


À Deux petites remarques sur ce que nous venons de voir. 





Nous avons vu qu'à chaque passage par un équipement, nous avons remonté le modèle OSI jusqu'au niveau de l'équipement. Le 
switch a lu les mformations jusqu'à la couche 2, le routeur les a lues jusqu'à la couche 4 (car il devait faire de la NAT) et ams1 de 
suite. 


On pourrait donc schématiser le parcours sur le réseau en fonction du modèle OSI de la manière suivante : 
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Sur läa machine 
emettnce 





Sur le routeur 


Passage sur le réseau selon le modèle OSI 


Nous voyons une fois de plus l'importance du modèle OSL et aussi l'importance de sa compréhension. 


Par ailleurs, nous avons vu que lors du passage par notre box, beaucoup d'mformations avaient été modifiées dans différentes 
couches. 
On peut en déduire les règles suivantes : 


e quand on passe d'un réseau à un autre, les adresses MAC changent dans l'en-tête Ethernet (couche 2) ; 

e quand on passe d'un réseau à un autre, rien ne change dans les en-têtes de couches 3 et 4, IP et TCP, sauf s'il y a de la 
NAT ; 

e dans le cas de la NAT, on change aussi les adresses IP source et ports source. 


ici donc deux remarques importantes à garder à l'esprit pour la compréhension du réseau. 


Mais il est temps de retourner à nos moutons, car notre trame va continuer amsi1 à se balader de routeur en switch et de switch en 
routeur, jusqu'à atteindre sa destination finale. 


Destination finale que nous allons étudier sur le champ ! D 


Réception par la machine destinataire 
Après avoir cheminé sur Internet, notre trame arrive enfin à sa destination. 


Réception des informations 


Comme vous pouvez vous en douter, nous allons une fois encore parcourir le modèle OSI, et cette fois ce sera en remontant les 
couches vers la couche applicative. 


Reception de la trame en couche 2 


Nous sommes donc au niveau du serveur d'adresse IP 88.191.135.63. Il reçoit la trame suivante: 


| 
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| @MAC 88.191.135.63 | @MAC 88.191.135.254 | proto 3 IP | Ve | CRC | 


Trame Ethernet 
L'adresse MAC destination est bien celle de notre machine, la couche 2 sait donc maintenant qu'elle va devoir envoyer le 


datagramme contenu dans la trame à la couche 3. Elle vérifie donc que la trame a été transmise correctement, grâce au CRE, et elle 
peut alors envoyer le datagramme au protocole de couche 3 mdiqué dans l'en-tête, à savoir IP ! 


Reception du datagramme en couche 3 


La couche 3, et plus précisément le protocole IP, reçoit donc le datagramme suivant: 





82.238.22.47 (source) | 88.191.135.63 (destination) 


Datagramme IP 


L'adresse IP destination est auss1 la nôtre, 1l va donc falloir envoyer le segment TCP contenu au protocole de couche 4 mdiqué 
qui est TCP. 
La couche 3 finit donc ses traitements et envoie le segment au protocole TCP. 


Reception du segment en couche 4 


Le protocole TCP reçoit le segment suivant: 


DIODES 


Segment TCP 


Si l'on regarde le contenu des flags, on voit que seul le flag SYN est positionné, il s'agit donc bien d'une demande de connexion. 
La couche TCP va par ailleurs vérifier que le port destination demandé est bien ouvert et prêt à recevoir des connexions. 

Il y a bien un service en écoute sur le port 80 de la machine, le protocole TCP peut donc répondre favorablement à la demande de 
connexion et renvoyer un segment TCP contenant les flags SYN et ACK. 


Et on est repartis pour un tour en sens inverse ! 
Cette fois on parcourt tout ce que l'on vient de faire, mais de la machine 88.191.135.63 vers la machine 82.238.22.47, puis vers 
192.168.0.1 après la NAT. 


La machine 192.168.0.1 recevant le segment TCP avec les flags SYN et ACK va pouvoir finaliser le fhree way handshake en 
envoyant un segment TCP avec le flag ACK, qui va établir la connexion TCP. 


Une fois la connexion établie, la machine 192.168.0.1 va ENFIN pouvoir faire sa requête web ! 
Pour mformation, voici la trame envoyée alors : 


? ? ? 
@MAC @MAC proto |, ; ; GET 
Co ouh eau) ane |) CERN CESSER ISSU EUR IEEE | ONE SN ro ee 


Trame Ethernet qui contient le Datagramme IP contenant le segment TCP qui contient les données applicatives ! 





Ouf, eh bien c'est pas trop tôt ! 


Nous venons donc d'étudier une connexion TCP plus ou mois en détail. Cela devrait mamtenant vous permettre de mieux 
comprendre comment vos machines communiquent sur Internet. 
Mais attention, 1l y a plusieurs points à garder à l'esprit : 


e nous n'avons vu qu'une version très simplifiée de ce quise passe réellement ; 

e tout cela se passe en quelques milisecondes ; 
chaque connexion peut utiliser un chemin différent qui la fera passer par un plus ou moins grand nombre de routeurs, 
mais cela ne change que très peu le temps de transit. 





© Pourquoi est-ce une version simplifiée ? Ça semble complexe quand même... 


Oui, c'est déjà bien complexe, mais ce n'est pas encore représentatif de la réalité. Nous n'avons pas park de requête DNS, que 
nous allons voir dans le chapitre suivant. Nous n'avons pas non plus parlé de proxy qui peut intervenir dans certains cas. 





ù Mais on n'a pas vu le proxy, c'est quoi ? 
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Un proxy est un relais applicatif. C'est en fait une application de couche 7 qui reçoit des requêtes et les transmet à la 
machine destination comme s1 c'était elle qui faisait les requêtes. 


Les intérêts de mettre en place un proxy peuvent être divers : 





! Attention, on n'est jamais totalement anonyme sur Internet et il est toujours possible de remonter à la source d'une 


une entreprise veut pouvoir centraliser les requêtes d'une application donnée, comme le web, pour voir tout ce qui sort 
de son réseau ; 

un proxy peut aussi servir de cache, c'est-à-dire qu'il va enregistrer les pages web qu'il a visitées, et ainsi les renvoyer 
lors d'une demande identique, sans avoir à refaire une requête ; 

un proxy peut aussi filtrer les requêtes en fonction de critères, comme le type des sites web demandés ; 

enfin, on entend parfois parler de proxy "anonyme" pour faire en sorte que ce soit l'adresse du proxy quisoit vue et non 
la nôtre. 


requête si on s'en donne les moyens, donc ne faites pas de bêtises, même si vous utilisez un proxy anonyme. { “à 





Nous comprenons mamtenant comment une information circule sur le réseau de la machine émettrice à la destmation. Super, 1l 
s'agissait de l'objectif majeur du cours ! 


Nous allons maintenant faire un peu de pratique, notamment en mettant en œuvre des services qui sont nécessaires au bon 
fonctionnement des réseaux. 


Vus savez maintenant ce qu'est une application et ce que sont un client et un serveur. 
Les protocoles de couche 4 utilisés sont TCP et UDP. 

L'adressage utilisé pour différencier les applications sur une machine est le port. 

La NAT et le port forwarding permettent de relier des réseaux privés à Internet. 

Vus avez pu voir le parcours complet d'une mformation sur Internet. 


Il est temps maintenant d'aller plus loin dans le réseau et de comprendre pourquoi nous avons besoin de quelques services 
supplémentaires pour faire fonctionner tout ce que nous avons vu. 


Nous venons donc de voir la couche 4 et avons fait un petit récapitulatif de ce que nous avons vu depuis le début. 


Nous connaissons: 


ce qu'est une application et ce que sont un client et un serveur, 

les protocoles TCP et UDP utilisés en couche 4 

l'adressage utilisé pour différencier les applications sur une machine 
la NAT et le port forwarding pour relier les réseaux privés à Internet 
le parcours complet d'une information sur Internet 


Il est temps maintenant d'aller plus loin dans le réseau et de comprendre pourquoi nous avons besoin de quelques services 
complémentaires. 
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Partie 4 : Les services réseau 


Dans cette partie, nous allons mettre en pratique ce que nous avons appris en installant des services qui sont indispensables au 
fonctionnement des réseaux. 

Pour cela, nous allons créer une vraie petite mfrastructure sur notre réseau qui permettra aux plus audacieux d'entre vous 
d'héberger eux-mêmes leurs services, s'ils le souhaitent {7° 


Le service DHCP 


Comme nous l'avons vu dans les chapitres précédents, l'adresse IP permet d'identifier une machine sur un réseau. Dans le cas 
d'un réseau IP (la majorité que vous rencontrerez et ceux qui nous intéressent), cette adresse est ndispensable pour pouvoir 
communiquer avec les autres machines du réseau. 





Nous allons nous intéresser ici à la manière dont cette adresse peut être obtenue. On distinguera deux méthodes, une manuelle, 
pour laquelle vous choisissez vous-mêmes l'adresse IP de votre machine et une dynamique où c'est un serveur qui vous fournit 
cette adresse. Ce serveur s'appelle un serveur DHCP et nous verrons qu'il a d'autres utilités que la simple distribution d'adresses 
IP 


| Principe du DHCP 
Le DHCP expliqué 


Il existe donc deux méthodes pour obtenir une adresse IP. Soit c'est vous qui la configurez (méthode manuelle), soit c'est un 
serveur qui vous la donne (méthode dynamique). 

La méthode manuelle pose quelques problèmes de prime abord. En effet, vous avez vu que pour qu'une machine puisse 
communiquer avec ses voisines, son adresse IP devait se trouver dans le même réseau que les autres machines. Pour sortir du 
réseau local, il faut que notre machine connaisse l'adresse de la passerelle. Cela fait déjà quelques informations dont il faut avoir 
connaissance quand vous branchez votre ordinateur à un réseau local. 


n'est pas déjà utilisée par une autre machine sur le réseau ? 





© Autre problème, même s1vous avez ces informations, comment vous assurez-vous que l'adresse IP que vous choisissez 
On se rend donc bien compte qu'il serait bien d'avoir un mécanisme rapide et fiable pour adresser les machines d'un réseau. C'est 
à qu'entre en jeu le protocole DHCP. 


Un protocole pour distribuer des adresses IP 


La première fonction d'un serveur DHCP (Dynamic Host Configuration Protocol) est de fournir des adresses IP (associées à un 
masque, bien évidemment Ci i) aux machines en faisant la demande. 





Si vous avez configuré votre carte réseau pour récupérer son adresse IP automatiquement, votre machine va chercher à contacter 
un serveur DHCP susceptible d'être présent sur votre réseau local. 


cherchons à dialoguer avec une autre machine. Il nous faut donc une adresse IP, non ? Est-ce qu'on ne se mord pas la 


©) Mais on vient de dire qu'on avait besoin d'une adresse IP pour contacter les autres machines du LAN et icinous 
queue ? 





Oui c'est vrai, on ne peut pas envoyer de paquets IP, étant donné que nous n'avons pas d'adresse IP. Par contre, nous avons une 
adresse MAC qui est liée à notre carte Ethernet. On peut donc envoyer des trames Ethernet. 
Néanmoins, s'il y a un serveur DHCP sur le réseau, nous n'avons aucun moyen de connaître son adresse MAC. 


© Comment allons-nous pouvoir joindre le serveur DHCP ? 





Tout ceci devrait vous rappeler quelque chose, non ? Le problème est le même que pour le protocole ARP. 
Nous allons utiliser l'adresse de broadcast ! 


La trame permettant de trouver un serveur DHCP est une trame "DHCPDISCOVER", comme c'est un broadcast, elle est envoyée 
à l'adresse MAC fÉfE EE FETE 


Comme la trame est envoyée en broadcast, le serveur DHCP doit obligatoirement se trouver dans le même réseau que 
. la machine. Comme vous le savez, les routeurs (qui délmitent les réseaux) séparent les domaines de broadcast et ne 
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| 7, relaient pas. Néanmoins, certains routeurs disposent de méthodes pour relayer ces trames DHCPDISCOVER. Nous 
| verrons cela un peu plus tard. 


Une fois que notre serveur DHCP reçoit le DHCPDISCOVER, il va renvoyer une proposition, c'est un DHCPOFFER. Il va 
proposer une adresse IP, un masque ainsi qu'une passerelle par défaut et parfois un serveur DNS. 





, Un serveur DNS permet de faire l'association entre un nom de machine et une adresse IP, comme www.lalitte.com et 
88.191.135.63. Nous allons l'étudier dans le prochain chapitre. 


Les deux derniers sont facultatifs, car 1ls ne sont pas fondamentalement indispensables au fonctionnement réseau de la machine, 
bien qu'en pratique on ne puisse pas vraiment s'en passer. 


Le client (votre machine) répond par un DHCPREQUEST. Celui-ci est aussi envoyé en broadcast et sert à prévenir quelle offre est 
acceptée. Le serveur DHCP dont l'offre a été acceptée valide la demande et envoie un DHCPACK qui valide l'allocation du bail. 


| à), On parle en effet de "bail", car cette attribution d'adresse IP a une durée limitée. Une fois expiré, 1l faut redemander une 
adresse IP. 





Client 


Requête DHCP complète 





Toutefois, lors d'un renouvellement, notre machine ne va pas refaire toute la procédure en commençant par un DHCPDISCOVER. 
On repart directement du DHCPREQUEST. Les serveurs DHCP conservent en mémoire les adresses qu'ils ont distribuées, 
associées aux adresses MAC. Ainsi, vous constatez que vous conservez parfois très longtemps la même adresse IP, même s1 
votre bail a sûrement été renouvelé plusieurs fois. 


Mise en place d'un serveur DHCP 
Nous allons donc essayer de mettre en place un serveur DHCP. Nous utiliserons pour cela notre machine Debian préférée. (2) 


Installation et configuration. 


Sous Debian, le serveur dhcp le plus couramment utilisé est isc-dhcp-server, mais 1l en existe plusieurs comme dhcp3-server ou le 
célèbre dhcpd. 
Nous allons commencer par l'installer. 


Code : Console 


# apt-get install isc-dhcp-server 


Ce serveur est géré par deux fichiers de configuration : 
e /etc/default/isc-dhcp-server 
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e /etc/dhcp/dhcpd.conf 
Dans le premier, on ne fera que déclarer sur quelle mterface écoutera notre serveur. La plupart du temps, il s'agit de votre 
interface principale qui s'appelle eth0O. 
On édite ce fichier et, si ce n'est pas déjà le cas, on rajoute : 


Code : Console 
INRA GE et nOo 
Vus pouvez faire écouter votre serveur sur plusieurs interfaces, 1l suffit juste de les séparer par un espace : 


INTERFACES="ethO eth1 eth3" 
Mais attention, dans ce cas il faudra bien spécifier quelles adresses distribuer sur chacun des réseaux 





Ensuite, le reste de la configuration se passe dans /etc/dhcp/dhcpd.conf. Ce fichier doit déjà contenir un exemple de 
configuration. Wus pouvez faire une copie de ce fichier et repartir sur un fichier vierge ou bien continuer avec celui-ci. Si vous 
l'éditez, notez que l'ordre des lignes de configuration n'a pas d'importance. 


On va partir d'un fichier vierge de notre côté. 
ici ce qu'il va contenir : 


Code : Console 


# Le nom de votre serveur dhcp 
server-name "“"dhcp.monreseau.fr"; 


# Le domaine attribué à vos clients 
option domain-name "monreseau.fr"; 


HAE SNE Sy MDNSN =rTerilous ss MMvos clear. 
Soon domaimenanmesen en no 2 MECS NON 007 Ah AUS 


FL SNCrÉe Ce NE Men ecCondes OPEN ICI MO UrSN il) 
default-lease-time 7200; 
max-lease-time 7200; 


# Le masque de sous-réseau 

DOEIONSSUONneL-Mmaske25s 255250; 

HHrdacre- See bro der Robes Cchtionne lee /Nneans Co MvyouSs rer tinibDon ererciceide 
) 

Coton MorondeSreccdicises ho OS S; 

# Le routeur par défaut 

CbbLONReCUber em 77 0R2S 7 


hr, NOUSNDrÉCT ON Ne rÉ ol ut ÉNerL Tes ba rtEichularités associées 
Ssubnerr 928 0e ne Eemas ke 725 52250 
1 ICI, TOUS neWOUlOnsS rEribuer d)Ynemcouementquemes ecresses cet ho MO 
SO NS 7 NS SOIENT A0 SARL 
HE NC POUVONS bÉCrAe ne dre préc eh ioncrronRoMbneMmAichame 
# grâce à son adresse MAC 
GE CMeCUMLCeL Cl Se 
hardware ethernet 00:23:8B:4B:D1:BD; 
Piked address 4162 "165 0 "10; 





(4 +) 


Chaque ligne est commentée dans le fichier. 
Notre fichier de configuration est mamtenant prêt ! Nous pouvons essayer de lancer le service. 





ATTENTION, s1 jamais vous lancez un serveur DHCP sur un réseau qui possède déjà un serveur DHCP, ça risque de 
poser un problème, car les deuxserveurs vont répondre auxrequêtes en broadcast et, potentiellement, attribuer des 
adresses identiques ou madaptées. Par conséquent, ne faites pas cela sur le réseau de votre entreprise ou de votre 
école ! 63 
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Test de la solution 
Dans un premier temps, nous allons vérifier que le serveur DHCP est bien en écoute : 


Code : Console 


# netstat -anup |grep dhcp 
udp 0 RON OeDACERCT COR AUES SNS 








Le serveur est bien en écoute sur le port UDP 67. 


Nous allons essayer de faire une demande d'adresse IP et voir ce qui va se passer au niveau du réseau. 
Mais cette fois, nous allons travailler avec un autre sniffer que Wireshark, en ligne de commande avec tcpdump. 
Nous allons tout d'abord l'installer : 


# apt-get install tcpdump 


Il faut ensuite le lancer dans un autre termmal, vous vous souvenez? Il est possible de changer de termmal avec la combinaison 
de touches CTRL+ATL#+FXx. 


On change de terminal, puis on lance tcpdump : 


ooioeitito Re (Modifiez ethx en fonction de la valeur de votre interface) 


L'interface se met en écoute : 





listening on eth0, link-type ENIOMB (Ethernet), capture size 65535 bytes 


Mantenant, sur l'autre terminal, nous allons forcer une demande DHCP avec la commande dhclient : 
# dhclient eth0 


Enfin, nous pouvons retourner sur le terminal sur lequel tcpdump est lancé. 

Il devrait y avoir quelques paquets reçus, dont ceux qui concernent notre requête DHCP : 
17:39:43.007862 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, 
08:00:27:4e:b7:bIl, length 300 
17:39:43.032031 IP 10.0.2.2.bootps > 10.0.2.20.bootpc: BOOTP/DHCP, 











Request from 
Reply, length 548 


On voit ici une requête DHCP request, suivi du DHCP ACK (reply 1c1). Nous n'avons pas de DHCP DISCOVER ou OFFER, car 
notre machine a déjà reçu son adresse par DHCP et ne fait donc que les deux dernières étapes de la requête. 


D'ailleurs il est possible que vous ayez deuxréponses à votre requête : celle de votre serveur local et celle de votre box 
s1 elle fait aussi office de serveur DHCP. 





À 


Notre serveur DHCP est donc bien installé et prêt à distribuer les adresses IP et informations réseau pour les machines du 
réseau qui en ont besoin. 


Vus savez maintenant ce qu'est le protocole DHCP et à quoiilsert. 
Vus savezaussi1imstaller et configurer un serveur DHCP. 
Enfin, vous avez vu comment une demande d’adresse IP par DHCP est effectuée. 


! 
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I nous faut maintenant explorer les principes du protocole DNS dont nous avons parlé mais dont nous ne savons encore pas 
grand-chose. 
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Le service DNS 


Vus savez maintenant comment votre ordinateur récupère son adresse IP. Wus savez aussi que toutes les machines 
(ordinateurs, serveurs, routeurs, etc.) connectées à Internet possèdent, elles aussi, une adresse IP. Enfin, nous savons, depuis 
quelques chapitres déjà, que c'est cette adresse IP qui permet aux machines de communiquer entre elles. 


Cependant, cela va nous poser un petit problème. Nous avons beau être des êtres humains avec une bonne mémoire, notre 
cerveau n'est pas fait pour retenir des séries de chiffres comme 187.232.98.122. On aimerait mieux avoir à retenir des noms 
comme siteduzero.com. {=} 





Ilne s'agit donc pas d'un problème technique, Internet fonctionne très bien avec des adresses IP, mais d'un problème de 
nommage pour permettre un accès simplifié à Internet pour nous tous, pauvres êtres humains. Ce système de nommage est le 
Domain Name System (DNS). 


Présentation du DNS 


Le DNS est un protocole indispensable au fonctionnement d'Internet. Non pas d'un point de vue technique, mais d'un point de 
vue de son utilisation. Il est mconcevable aujourd'hui d'utiliser des adresses IP en heu et place des noms des sites web pour 
naviguer sur Internet. Se souvenir de 58.250.12.36 est déjà compliqué, mais quand vous surfez sur 40 sites différents par jour, cela 
fait quelques adresses à retenir. Et ça, on ne sait pas faire... 


Un arbre avec des branches 


Une arborescence ordonnée 


Le système DNS, vous l'utiisez tous les jours quand vous naviguezsur Internet. Lorsque vous voulez accéder au Site du Zéro, 
le système DNS se charge de convertir (on parle de résolution) le nom du site web demandé en adresse IP. 


Un nom de domaine se décompose en plusieurs parties. Prenons l'exemple suivant : 


www.google.fr 


Chaque partie est séparée par un point. 

On trouve l'extension en premier (en premier, mais en partant de la droite) ; on parle de Top Level Domain (TLD). Il existe des 
TLD nationaux (ff, it, de, es, etc.) et les TLD génériques (com, org, net, b1z, etc.). 

Ici, on a le découpage suivant : 


wWww.google.fr 


Il existe une infinité de possibilités pour la deuxième partie. Cela correspond à tous les sites qui existent : google.fr, 
siteduzero.com, ovh.net, twitter.com, etc. 

Comme vous le voyez, google.fr est un sous-domaine de fr. Le domaine fr englobe tous les sous-domaines finissant par fr. 

La troisième partie est exactement comme la seconde. On y retrouve généralement le fameux "www", ce quinous donne des 
noms de domaine comme www.google.fr. www peut soit être un sous-domaine de google.fr, mais dans ce cas il pourrait y avoir 
encore des machines ou des sous-domaines à ce domaine, soit être directement le nom d'une machine. 

Ici, www est le nom d'une machine dans le domaine google.fr. 


On peut bien entendu ajouter autant de troisièmes parties que nécessaire, ce qui peut vous conduire à avoir un nom de domaine 


comme : www.fr. l.new.super.google.fr. ("3 






ici une toute petite partie de l'arborescence des noms Internet : 
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(Racine) 


Org 





fr 





Chaque "partie" est appelée label et l'ensemble des labels constitue un FQDN : Fully Qualified Domain Name.Ce FQDN est 
unique. Par convention, un FQDN se finit par un point, car au-dessus des TLD il y a la racine du DNS, tout en haut de l'arbre. Ce 
pont disparaît lorsque vous utilisez les noms de domaine avec votre navigateur, mais vous verrez qu'il deviendra très important 
lorsque nous configurerons notre propre serveur DNS. 


A Au niveau DNS, www.google.fr n'est pas un FQDN, car il manque le point à la fin. 





| Tout FQDN sur Internet doit obligatoirement se finir par un point, comme www.siteduzero.com. qui est alors bien un 
? FOQDN, car on est sûr qu'il n'y a pas de domaine au-dessus. 


Trucs et astuces ! 


Si jamais vous admmnistrez un réseau, et que vous possédez le domame mondomaine.com, vous pouvez vous amuser à ajouter 
dans votre serveur DNS une machine qui s'appellera www.siteduzero .frmondomaine.com. 

Ainsi, dès qu'une personne quiutilise votre serveur DNS demande www.siteduzero.fr en oubliant de mettre le . à la fin, elle sera 
envoyée vers votre la machine www.siteduzero.frmondomame.com. | 


Hacking power ! GC 





Mais revenons aux principes du DNS pour étudier un dernier point important dans l'arborescence. 

Dans l'architecture du service DNS, chaque label est responsable du niveau directement en dessous et uniquement de celui-ci. 
La racine est responsable du domaine .com, le .com de google.comet google.com de www.google.com, etc. Bien entendu, Google 
veut gérer lui-même le domame google.com. L'organisme qui gère le domaine .com délègue donc la gestion de ce nom de domame 
à Google. 


Ainsi, chaque personne qui veut posséder un domaine sur Internet peut l'acheter, mais devra ensuite gérer un serveur DNS pour 
publier ses adresses. 

Cependant, la plupart des entreprises qui vendent des noms de domaine (qu'on appelle registrar) proposent de gérer elles-mêmes 
vos enregistrements DNS, mais c'est moins fun. 


Nous savons donc que le DNS est organisé sous forme d'une grosse arborescence, et que chaque partie de l'arborescence peut 
être gérée par la personne qui la possède. 


Et Mais comment fait-on pour savoir qui possède telle où telle partie et où sont stockées les mformations que l'on 
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Ep rechérohe 7 


La résolution, comment ça marche ? 


Vus êtes connectés à votre réseau, votre serveur DHCP vous a donné une adresse IP, un masque de sous-réseau et 
probablement une passerelle par défaut, ainsi qu'un serveur DNS. 


Imaginez que vous entrez www.siteduzero.com dans votre navigateur. Lorsque vous entrez ce nom, votre machine doit 
commencer par le résoudre en une adresse IP. 

Vus allez donc demander une résolution au serveur DNS que vous avez reçu par le DHCP. Celui-ci a deux moyens pour vous 
fournir la réponse : 


e_1lconnaît lui-même la réponse ; 
e_1l doit la demander à un autre serveur, car il ne la connaît pas. 


La plupart du temps, votre serveur DNS est bien peu savant et demande à un autre serveur de lui donner la réponse. En effet, 
chaque serveur DNS étant responsable d'un domaine ou d'un petit nombre de domaines, la résolution consiste à aller chercher la 
bonne mformation sur le bon serveur. 


Nous voulons donc joindre le site www.siteduzero.com et voilà ce que va faire mon serveur DNS. 

Tout d'abord, il est évident que cette information ne se trouve pas sur notre serveur, car ce n'est pas lui qui est en charge du Site 
du Zéro. 

Pour obtenir cette résolution, notre serveur va procéder de façon rigoureuse et commencer par là où 1l a le plus de chance 
d'obtenir l'information, c'est-à-dire au point de départ de notre arborescence. 


e Ilva demander aux serveurs racine l'adresse IP de www.siteduzero.com. Mais comme les serveurs racine ne sont pas 
responsables de ce domaine, ils vont le rediriger vers un autre serveur qui peut lui donner une information et qui dépend 
de la racine, le serveur DNS de com. 

e Ildemande ensuite au serveur DNS de com l'adresse IP de www.siteduzero.com. Mais comme auparavant, le serveur com 
renvoie l'adresse IP du serveur DNS qui dépend de lui, le serveur DNS de siteduzero.com. 

e Enfin, il demande au serveur DNS de siteduzero.com l'adresse IP de www.siteduzero.com et là, ça marche : le serveur de 
siteduzero.com connaît l'adresse IP corres pondante et peut la renvoyer. 


Mantenant, vous avez l'adresse IP de www.siteduzero.com ! 


On dit qu'un serveur fournissant la résolution d'un nom de domaine sans avoir eu à demander l'information à quelqu'un 
d'autre fait autorité. Les serveurs DNS utilisent un système de cache pour ne pas avoir à redemander une information 
de façon répétitive, mais ils ne font pas autorité pour autant, car l'information stockée en cache peut ne plus être valide 
après un certain temps. 









© Existe-t-il aussi un protocole pour convertir une adresse IP en nom de domaine ? 


Non, c'est mutile. Le DNS sait faire cela, on parle alors de reverse DNS et de résolution inverse. 


© Cependant, c'est relativement peu utilisé, sauf parfois pour des raisons de sécurité. 


La gestion internationale des noms de domaine 


Même s1 le système DNS n'est pas indispensable au fonctionnement d'Internet, il en est un élément mcontournable. 

Le système de noms de domaine est géré par un organisme américam appelé l'ICANN. Celui-c1 dépend directement du 
Département du Commerce des États-Unis. L'ICANN est responsable de la gestion des 13 serveurs DNS qui gèrent la racine du 
DNS. Ces 13 serveurs connaissent les adresses IP des serveurs DNS gérant les TLD (les .fr, .com,; org, etc.) 


©) I n'y a vraiment que 13 serveurs racme ? 


Oui et non. 

En fait, après plusieurs attaques sur les serveurs racine, on s'est rendu compte de la faiblesse de n'avoir que 13 serveurs et de la 
menace que cela pouvait représenter pour le fonctionnement d'Internet. 

On a donc mis en place un système qui duplique les 13 serveurs en différents endroits d'Internet. Il y a donc réellement 
aujourd'hui plusieurs centaines de serveurs racine qui dupliquent les mformations des 13 serveurs d'origine. 
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Le mécanisme qui permet cette duplication de serveurs, et notamment d'adresses IP, s'appelle l'anycast, mais 1l fait appel 
à des notions réseau très avancées que nous n'exposerons pas ICI. 





C'est l'ICANN qui autorise la création d'une nouvelle extension, comme le .xxx1l y a plusieurs mois ou l'utilisation de caractères 
non-latins (arabes, chinois, japonais, etc.), il y a quelques années. 

L'ICANN délègue ensuite les domaines de premier niveau à divers organismes. Pour l'Europe, c'est le RIPE qui délègue lui-même 
à L'AFNIC qui est responsable du domaine .fr (amsi que des extensions correspondantes à la France d'outre-mer) ; pour le 
domame .com, c'est VeriSign quis'en occupe. Les labels mférieurs correspondent généralement à des sites ou à des entreprises, 
et la gestion du nom de domaine leur revient. 


Configuration de Bind 
Mantenant que nous nous sommes famiharisés avec les noms de domaine et le fonctionnement des DNS, nous allons configurer 
notre premier nom de domaine. Nous utiliserons le serveur de noms de domaine le plus vieux et le plus utilisé au monde : BIND. 





 Ilexiste des alternatives à BIND, comme DJBdns ou MaraDNS, qui sont souvent réputés plus sécurisés, mais ils sont 
encore beaucoup moins utilisés. 


La configuration de notre nom de domaine se fera sous Debian. Wus pouvez donc réutiliser votre Debian préférée. 


Préparation 
Présentons d'abord ce que nous allons configurer 1c1. 


Première chose, quand vous possédez un domaine, vous devez avoir deux serveurs DNS , un serveur primaire et un serveur 
secondaire. Ceci est nécessaire pour pouvoir garantir que s1 l'un tombe en panne, le second permettra toujours d'accéder à vos 
serveurs. 


Le domaine que nous allons configurer sera : reseau.fr. 


e Ce nomde domaine sera géré par deux serveurs dns : 
o nsl.reseau.fr - 192.168.0.1 sera notre serveur maître ; 
o ns2.reseau.fr - 192.168.0.2 sera notre serveur esclave. 


e Les adresses email de ce nom de domaine seront gérées par deux serveurs de messagerie : 
o mxl.reseau.fr - 192.168.0.3 ; 
o mx2.reseau.fr - 192.168.0.4. 


e Ce nomde domaine possédera deux machines : 
o tuto.reseau.fr - 192.168.0.5 ; 
o www.reseau.fr - 192.168.0.6. 


e Ilexistera aussi une autre machine, blog.reseau.fr, qui sera un alias de www.reseau.fr. 


, Nous ne connaissons pas les serveurs de messagerie, mais vous devez simplement savoir que pour chaque domaine, il 
doit y avoir un serveur de messagerie qui permet de recevoir des mails pour les adresses de notre domaine. 


Nous ne connaissons pas non plus les alias. Un alias est une association entre un nom de machine et un autre nom de 
machine, alors que le DNS a l'habitude de faire la liaison entre un nom de machine et une adresse IP. C'est donc une 
association particuhère du DNS. 





Installation de Bind9 


Code : Console 


# apt-get install bind9 


Les fichiers de configuration de Bind se trouvent, comme on peut s'y attendre, dans /etc/bind. 

La configuration se fait en deux temps. Nous devons tout d'abord déclarer à notre serveur quels seront les noms de domaine qu'il 
va devoir gérer, on appelle ça des zones. Ensuite, nous devrons configurer ces zones, grâce à un fichier de configuration par 
zones. 
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Configuration du serveur master 


Déclaration des zones 
Une zone se déclare de cette façon : 


Code : Console 


zone reseau.fr" { 
EVE Mere ec | 
file "/etc/bind/db.reseau.fr"; 
allonw-crans enr? 168 027 


Le type mdique si vous êtes master ou slave sur la zone, c'est-à-dire s1 c'est vous qui effectuez les mises à jour (master) ou si 
vous les recevez d'un autre serveur (s/ave). 

File mdique le fichier dans lequel sera configurée votre zone. 

Allow-transfer mdique le serveur qui pourra recevoir vos mises à jour. Bien entendu, cette directive n'existe que dans le cas d'un 
serveur master. 


checkconf /etc/bind/named.conf 
Celle-ci nous sera de nouveau utile pour tester le format des fichiers de zone eux-mêmes 





© Vus pouvez vérifier la syntaxe du fichier named.conf grâce à la commande 





Passons mamtenant à la configuration de notre zone. 


Configuration de la zone du serveur master 


On édite donc le fichier /etc/bmd/db.reseau.fr. A fin d'avoir une configuration "basique", vous pouvez faire une copie de 
/etc/bnd/db.local. 


Code : Console 


GhUecc/bind/db locale trce/briad/do reseau: cr 
vim /etc/bind/db.reseau.fr 


Dans ce fichier de zone, nous allons mdiquer des enregistrements. Il en existe de plusieurs types : 


e A:c'est le type le plus courant, il fait correspondre un nom d'hôte à une adresse IPv4 ; 

e AAAA: fait correspondre un nom d'hôte à une adresse IPv6 ; 

e CNAME : permet de créer un alias pointant sur un autre nom d'hôte ; 

e NS : définit le ou les serveurs DNS du domaine ; 

e MX : définit le ou les serveurs de mail du domaine ; 

e _PTR : fait correspond une IP à un nom d'hôte. Il n'est utilisé que dans le cas d'une zone mverse, que nous verrons plus 
loin ; 

e SOA : donne les infos de la zone, comme le serveur DNS principal, l'adresse mail de l'administrateur de la zone, le numéro 
de série de la zone et des durées que nous détaillerons. 


Il en existe d'autres mais pas forcément utiles ou mtéressants pour ce cours. 
ici ce que donnera notre fichier de zone complet : 


Code : Console 


SNTESC US 00 ; l semaine 
SORIGIN reseau.fr. 
@ INFSOLNMPRS TES Le. Er. admin. reseau. tr. 
POARS OPOO DENTS PEN 
SOU reLresNOtIMNROur) 
SDOIC "tretvrv | S1Sminuees) 
161200 , expire (7 weeks 4 days II hours 6 minu 
604800 ;: minimum (1 week) 
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) 


@ IN NS nsl.reseau.fr. 
@ IN NS 5,2 

@ IN MX MORT 

@ IEINI MX 2102 

SA IN A PS ZAC SC AUEE 
nS2 IN A LOIS 062 
ME IN À IBOPRPRC SALUE 
mx IN A LOIRE ES 0) A 
CUEO IN À PONS ES RE 
WWW IN A 1 2 NS ENS) 
16 1F@e) IN CNAME WWW 








4] D 


Examinons chacune de ces mformations. 

La première mfo est un TTL(7ime to Live). Quand quelqu'un va nterroger votre serveur DNS pour obtenir des mformations, ces 
informations vont être stockées en cache chez cette personne (dans la mémoire de son serveur DNS, pour éviter qu'il vienne 
nous rémterroger de nombreuses fois s'il a de nouveau besoin d'une mformation). Ce TTL est la durée pendant laquelle les 
informations sont conservées en cache. Ce délai passé, une nouvelle demande devra être faite au serveur Le TTL est défini ici 
sur 1 semaine. En fonction de la fréquence de vos mises à jour, vous pouvez décider de baisser cette valeur pour que vos clients 
aient leurs mformations à jour. 





La deuxième info est la variable ORIGIN. Celle-ci est optionnelle. Wus voyezles petits @ plus loi ? Ces (@ prennent la valeur de 
la variable ORIGIN. En l'absence de variable ils prendront la valeur du nom de votre zone défini dans le fichier named.conf 
(reseau.fr 1c1). 


Vent ensuite notre premier enregistrement, c'est un enregistrement de type SOA (Sfart Of Authority ). Le type SOA est suivi de 
deux mformations. La première est le nom du serveur de domaine principal (master) et la seconde est l'adresse mail de 
l'admnistrateur du domaine (en remplaçant l'arrobase par un point). Suivent entre parenthèses différentes valeurs. 


e Le serial peut être comparé à un nunéro de version de votre zone. Il doit être mcrémenté à chaque modification. Cela 
indique à votre serveur que votre zone a été mise à Jour et qu'il faut envoyer la notification à vos serveurs esclaves. Les 
best practices recommandent une syntaxe particuhère pour le serial de la forme AAAAMMIJXX (où XX est la version du 
jour en question). Cela vous permet entre autres de savoir la date de la dernière mise à jour de votre zone. 

e Refresh est le temps au bout duquel les enregistrements sont stockés sur le serveur s/ave. Passer ce délai, le serveur 
slave demandera une nouvelle mise à jour au serveur master. 

e Retry est le temps qu'attendra le serveur s/ave dans le cas où le serveur master contacté n'est pas joignable pour faire un 
nouvel essai. 

Expire est le temps pendant lequel le serveur s/ave continuera à essayer de contacter le serveur master. 
Minimum est la durée mnimale du cache ; elle est en général égale à Refresh. 


Nous trouvons ensuite les enregistrements, du moins ceux quinous intéressent ! 


Les enregistrements se découpent en 4 parties sur une ligne (parfois 5 pour des enregistrements spécifiques). 

La première mformation, c'est l'hôte de votre domame. Nous avons parlé du @ tout à l'heure qui est remplacé par la valeur de 
SORIGIN (le cas échéant par le nom de votre zone). Notez qu'on peut ne rien mettre du tout si on veut parler du domaine entier. 
Rien, @, ou un nom de machine ou de sous-domaine au choix. 

Le second, représente la classe. Ici, elle spécifie qu'il s'agit d'un enregistrement concernant Internet. Il existe d'autres valeurs mais 
elles ne sont pas utilisées, donc on met toujours IN. 

Le troisième spécifie le type d'enregistrement dont on a détaillé les différents types précédemment. 

Enfin, le dernier spécifie la valeur de l'enregistrement dépendant du type. Un type A attendra une adresse IP, un type PTR 
attendra un nom d'hôte, etc. 

On trouve parfois, juste avant cette dernière valeur, un nombre qui indique le "poids" d'un enregistrement. On verra plus loin 
dans quel cas c'est utile. 


On commence généralement par les enregistrements des serveurs gérant notre domaine et les services associés (le mail en 
l'occurrence). Dans notre cas 1l s'agit des types NS et MX. On utilise l'@ parce que ces enregistrements ne détermment pas un 
hôte en particulier, mais bien le domaine entier. 

Code : Console 


Q IN NS noslé reseau. Cr. 


Cette ligne se traduit donc par : "ns L.reseau.fr est un serveur de nom de domaine de reseau.fr" 
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J'attire votre attention sur le "." situé à la fin de ns L.reseau.fr, car celui-ci est extrêmement important. Cette valeur doit 
être un FQDN et le FODN contient le "." représentant la racme du DNS. Si vous aviez écrit ns L.reseau.fr sans le ".", 
votre serveur aurait automatiquement rajouté à la fin le FQDN de votre zone, ce qui aurait donné ns l.reseau.frreseau.fr. 


; ce qui n'a plus du tout la même valeur ! 





nn 


Ceci étant, réécrire à chaque fois le FODN c'est un peu contraignant. Ft comme on sait que, ne pas finir sa ligne par un "." rajoute 
au FQDN de votre zone, on peut se permettre de n'écrire que "ns 1". Ainsi, votre serveur rajoutera "reseau.fr." et on aura le FODN 
que l'on cherchait à obtenir. 

Vyez la deuxième ligne qui utilise cette syntaxe raccourcie. 


Les enregistrements MX utilisent la même syntaxe que pour les NS et indiquent l'adresse IP d'un serveur de messagerie, à cela 
près que nous avons rajouté un chiffre devant "mxl". Nous avons dit tout à l'heure que ce chiffre déterminait le "poids" d'un 
enregistrement, on parle aussi de priorité. Nous avons deuxserveurs MX : mxl et mx2 ; cette valeur va permettre de déterminer 
lequel des deux doit être utilisé en priorité. Plus elle est basse, plus le serveur est prioritaire. 





Mais nous avons aussi deux serveurs NS ! Comment se passe cette priorité, étant donné qu'il n'y a pas de valeur pour 
les départager ? 


Dans ce cas, c'est chacun son tour. Sur une machine Linux, essayez plusieurs fois de suite cette commande : 


Code : Console 


RO LARNSNGO SSH RE 


Vus verrez que les réponses que vous recevez ne sont jamais dans le même ordre. Cela s'appelle du Round-Robin, c'est une 
méthode qui permet d'équilibrer la charge entre les deux serveurs pour ne pas les surcharger, car un serveur sera autant consulté 
que les autres serveurs du même type. 


Très bien, maintenant on sait que les serveurs mail de notre domaine sont mxl.reseau.fr et mx2.reseau.fr. Cependant, on 
ne sait toujours pas leurs adresses IP alors que c'est quand même le but d'un serveur DNS, non ? 





D'ailleurs, vous voyez qu'ensuite nous définissons l'adresse IP de mxl (sans . à la fin, donc mxl.reseau.fr ! ) avec un 
enregistrement de type A. 

C'est ce qu'on appelle un Glue Record. On définit une première fois le nom d'hôte du serveur NS, puis on définit l'adresse IP de 
cet hôte. On doit faire cela, car un enregistrement NS associe un nom de serveur au nom du domaine. Il faut donc ajouter un 
enregistrement À pour le nom de ce serveur. 


On retrouve ensuite les enregistrements les plus courants, ceux de type A (et AAAA quand on a de l'IPv6). En effet, le rôle 
principal du DNS est de faire correspondre un nom d'hôte avec son adresse IP, et c'est ce que fait le type A. 


La syntaxe est relativement simple comme vous pouvezle voir : 
Code : Console 


BNC IN A POLAR CAUrS 


Comme pour les autres enregistrements, "tuto" ou "tuto.reseau.fr." revient au même. N'oubliez pas le point si vous optez pour le 
FQDN. 


Le type CNAME est aussi simple à comprendre. On fait correspondre un nom d'hôte à un autre nom d'hôte. Bien sûr, s1 "blog" 
pointe sur "www", l'enregistrement www doit exister. 
Je le répète encore une fois : si vous choisissez le FODN, n'oubliez pas le point, c'est une des premières causes d'erreurs dans les 


configurations DNS. 


Wilà, notre zone est maintenant configurée sur notre serveur master. Wus devez redémarrer BIND pour que les changements 
soient pris en compte : 


Code : Console 


HN / Ce C/Hoibe o/lolacoaesrs ice 
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Vus pouvez vérifier la syntaxe du fichier de zone grâce à la commande suivante : 
checkzone reseau.fr /etc/bind/db.reseau.fr | 


| 





Configuration du serveur s/ave 


Nous avons prévu deuxserveurs dans notre architecture . Celui que nous venons de configurer est le master ; celui que nous 
allons faire sera le s/ave. Les modifications se font sur le master, et celui-c1 enverra des notifications aux s/aves (il peut y en avoir 
plusieurs) pour que leurs zones soient mises à Jour. 


La configuration du serveur s/ave est donc relativement simple, tout se passe dans le named.conf. Il n'y a pas de fichier de zone à 
configurer étant donné que celui-ci sera reçu du master. 


A Si vous souhaitez tester complètement la mise en place du serveur DNS avec master et slave, vous pouvez tout à fait 
mettre en place le serveur s/ave sur une autre de vos machines virtuelles. 





On commence par installer Bmd comme pour le master et on édite /etc/bind/named.conf. 


Code : Console 


zone reseau.fr" { 
type slave; 
filewW/ar/fcache /bind/db.reseaiu. Fr 
MASSE SIN PO2 TC SAOmee 





Et c'est tout ! f77? 


La directive masters indique l'adresse IP du serveur master duquel nous allons recevoir les mises à jour de notre zone. 


Résolution inverse 


Pour l'instant, nous avons vu le protocole DNS comme un moyen de résoudre un nom d'hôte en une adresse IP. Nous avons 
park des enregistrements de type PTR et vous savez donc que DNS permet aussi de faire le travail mverse. C'est une résolution 
inverse. 

tre serveur DNS se doit de pouvoir résoudre une adresse IP en un nom d'hôte. C'est ce que nous allons faire 1c1. 


Retournons dans notre fichier named.conf afin d'ajouter cette zone inverse. Nous allons déclarer la zone inverse de notre 
adressage IP, 1c1 c'est 192.168.0.0/24. 

Alors qu'une zone "normale" se déclare de façon plutôt logique, une zone inverse doit respecter une certame forme concernant 
le nom de la zone : 


Code : Console 


Zone MAUR A 7ère rocher ess 

EVOe MIS Eer 

Free bind db 1921660102 
}; 


Wilà pour la déclaration. Il faut juste faire attention au nommage de la zone, la partie réseau de l'adresse IP à l'envers, puis ".m- 
addrarpa". 


On crée ensuite le fichier de zone. 


Code : Console 


SMS QAR (010) ; l semaine 

SORTOTNMOUMRCS 1102 in dar 20e" 

@ IN SOA nsl.reseau.fr. admin.reseau.fr. ({ 
PONS CA0S DS Serra 
5600 OCcÉreS In Our) 
SONO Crébrys0eminures) 
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1 ARS 000 , expire (7 weeks 4 days II hours 6 minu 
604800 » minimum (1 week) 
) 

Q IN NS HS resSeaurvr re 

Q IN NS HSAPresSeAutEer. 

l IN PTR NelRRÉeSEe ue er 

7 IN PTR ns2.reseau.fr. 

5 IN PTR MeltresS Eure 

gl IN PTR Mel PES, 

5 IN PTR Pub reseau 

6 IN PTR WWwW.reseau.fr. 

dl D) 





Ce n'est pas très compliqué. C'est l'inverse d'une zone "normale". Ça, je pense que vous l'avez compris maintenant. {°°} 





Les points auxquels 1l faut faire attention : 


e une Zone inverse ne contient que des enregistrements de type NS ou PTR ; 
e dans notre zone "normale", blog redirigeait vers www, mais là une adresse IP ne peut pointer que vers un seul hôte ; 
e la variable ORIGIN a changé ! Il faut donc penser à utiliser le FODN de nos hôtes à chaque fois. 


Vérification 


On va quand même vérifier le fonctionnement de notre zone maintenant. 
Commencez déjà par redémarrer votre serveur de nom pour prendre en compte les changements de configuration : 


+ /etc/init.d/bind9 restart 


Il existe plusieurs commandes pour faire des interrogations DNS. La commande la plus utilisée est mais fournit 
plus d'nformations et permet un diagnostic plus précis en cas de problème. Vérifiez d'abord le serveur DNS utilisé par votre 
machine. Comme cette machine est elle-même un serveur DNS, elle va devoir s'interroger elle-même. 


Le programme qui fait toutes les résolutions DNS pour votre machine s'appelle le resolver. Ainsi, chaque programme qui a besoin 
de faire une résolution DNS s'adresse au resolver. 


Son fichier de configuration se trouve dans /etc/resolv.conf qui doit au moins contenir l'adresse d'un serveur DNS à interroger : 


Code : Console 


nameserver 127.0.0.1 


Oui, votre serveur va s'interroger lui-même. Wus pouvez spécifier d'autres serveurs, un par nameserver. Ce fichier peut aussi 
contenir des mformations sur votre domaine ou le domaine de recherche. 


On peut mamtenant commencer nos tests : 


Nous allons donc utiliser la commande host qui permet de faire une mterrogation DNS. 
Sa syntaxe est la suivante: 


# host -t type nom a chercher IPserveur 


On peut ainsi indiquer le type de la requête (NS, A, MX, CNAME, etc.), le nom à interroger, amsi que l'adresse IP du serveur que 
l'on peut préciser. 


Par exemple, s1 l'on cherche l'adresse des serveurs DNS du domaine reseau.fr : 
Code : Console 


AO Te RMS tes = Er 
reseau.fr name server nsl.reseau.fr. 
Fer Me CV me Te Cd 


Et pour avoir leurs adresses IP: 
Code : Console 
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host tr ns ll res u. Êr 
nsléreséiu. tr has address 192 F68 70." 
Re CLR n- 2 fc -U el 
Hs reséau-rruhaseaiddress ro rs 072 


Si tout se passe bien, c'est parfait. Dans le cas contraire, penser à vérifier que les syntaxes de vos fichiers de zones sont bonnes, 
avec "named-checkzone", et que vous avez bien pensé à relancer votre serveur Bind, etc. 


Nous venons de voir que grâce à la commande host (ou dig), il est possible de demander toute mformation contenue dans vos 
zones DNS, ou même sur des serveurs situés sur Internet ! 


Exercice 


Sachant que 8.8.8.8 est un serveur DNS public proposé par Google, 


e Trouvezles noms et adresses IP des 13 serveurs racine ; 
e trouvez la ou les adresses IP de www.siteduzero.fr ; 

e trouvez la ou les adresses IP de www.siteduzero.com ; 

e trouvezles adresses IP des serveurs DNS de lalitte.com. 


ici les requêtes à faire pour obtenir les réponses : 





# host -t ns . 8.8.8.8 
Faire ensuite une requête À pour chacun des serveurs racine : 





# host -t a www.siteduzero.fr 8.8.8.8 
# host -t a www.siteduzero.com 8.8.8.8 


# host -t ns lalitte.com 8.8.8.8 


Wilà, vous savez mantenant faire des mterrogations DNS pour vérifier le fonctionnement de vos serveurs, ou de n'importe quel 
domame sur Internet. 


e bus avez vu comment mettre en place votre propre serveur DNS ainsi qu'un second serveur s/ave. 
e bus savez gérer vous-mêmes votre propre nom de domaine. 
e Vous êtes famihiarisés avec les concepts de zone, de résolution et de résolution mverse. 


Félicitations, vous être prêts pour votre nouveau rôle d'administrateur systèmes et réseaux ! (5) 
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Le service web 


Vus commencez à connaître quelques services indispensables avec le DHCP et le DNS. 
Le service que nous allons voir mamtenant n'est pas mdispensable au fonctionnement des réseaux, mais 1l est aujourd'hui le 
fondement même d'Internet, j'a1 nomné : le web. 


Nous allons voir dans ce chapitre comment mettre en place un serveur web et le configurer. 


Description du service 


Le service web est LE service d'Internet. C'est celui qui permet d'héberger des serveurs web, et donc de vous proposer des pages 
à lire comme le Site du Zéro ou Facebook. 


Nous allons voir comment mettre en place un serveur web et le configurer pour qu'il puisse proposer des pages aux internautes. 


Principe du web 


Le fonctionnement du web s'appuie sur le protocole applicatif HTT P. 
Comme les autres protocoles que nous avons étudiés, HTTP à un mode de fonctionnement bien spécifique. que nous 
n'étudierons pas ici. {= 


En effet, ce qui nous intéresse, c'est surtout de savoir utiliser la navigation, mais pas de la comprendre en détail, du moins pas 
pour l'instant. 
Le protocole HTTP 


Plutôt que d'essayer de comprendre en détail le protocole HTTP, nous allons voir ce qu'il permet de faire. 


Si vous avez bien suivi le tuto de M(ateo21 sur HTMI/CSS vous savez qu'une page web est composée de balises HTML. 
Le principe du protocole HTTP est de transporter ces pages HTML, et potentiellement quelques mformations supplémentaires. 


Le serveur web met donc à disposition les pages web qu'il héberge, et le protocole HTTP les transporte sur le réseau pour les 
amener au client. 


Nous allons donc mettre en œuvre un serveur web qui permettra de mettre à disposition des mternautes nos pages web ! 
Les différents serveurs web 
Il existe de nombreux serveurs web sur le marché. 


Le plus connu est Apache et il est utilisé par une majorité de sites sur Internet. 
Les chiffres parlent d'eux-mêmes, voici l'utilisation des différents serveurs à travers le monde : 
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Apache 
Microsoft-IIsS 
Nginx 
LitesSpeed 


Google Servers 


Tomcat 

Lighttpd 
Serveurs web les plus utilisés (source: 

IBM Servers 

Yahoo Traffic Server 

Oracle Servers 

Zope 

Resin 


zeus 
WiTechscom, 21 March 2013 
Percentages of websites using various web servers 





Wätechs.com) 


Toutefois, s1 l'on regarde plus précisément les évolutions des serveurs, on se rend compte que la tendance n'est pas à la 
progression pour Apache : 


Web server developers: Market share of all sites 
80% 





D Apache 
BE Microsoft 
BE Sun 
? 
60% D nginx 
B Google 
BI NCSA 
40% 
BB Other Graph 
20% à 
Ÿ > | ; | | - ; VF 
0% : eu - —{ 
5 © sl co LR cf 9 CR 
A ee A a a SAS SE ss R ao" 
S or ab af à sec + age" eut ant we? 2 + à et” 


représentant l'utilisation des serveurs web (source: netcraft) 


Le serveur nginx a notamment vécu une très belle progression depuis 2007, car il offre des performances souvent meilleures 
qu'Apache. 


Cependant, pour notre mise en place, nous allons opter pour Apache qui reste le serveur numéro un. Wus pourrezs1 vous le 
souhaitez essayer un autre serveur, comme nginx, mais la configuration est souvent très différente d'un serveur à l'autre. 


C'est parti pour l'installation ! 
Mise en place et configuration 
Installation et configuration d'Apache 
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Installation d'Apache 


Sous Debian, l'nstallation d'une application est extrêmement simplifiée avec l'utilisation de apt. 
Vus pouvez donc vous mettre sur votre machine virtuelle sous Linux et entrer les commandes suivantes : 
On met d'abord à jour notre liste de packages. 


# apt-get update 


Ensuite, on installe apache2 qui est la dernière version d'Apache. 
# apt-get install apache2 


À cet instant, vous avezun serveur Apache en état de fonctionnement. Cependant, nous allons aller plus loin pour permettre à 
ce serveur d'interpréter du langage PHP et nous allons installer aussi ce qu'il faut pour pouvoir parler avec une base de données 





# apt-get install libapache2-mod-php5 php5-mysqal 


Vus pourrez, par la suite, mstaller un serveur de bases de données mysql s1 vous le souhaitez. Il faudra alors aussi 
installer les modules nécessaires pour que PHPS et mysql puissent dialoguer ensemble. 





Notre serveur étant installé, nous allons vérifier qu'il est bien en écoute : 


Code : Console 


# netstat -antp | grep apache2 
Lee 0 (he%e260 RE IIS AREIN 381 





« D 


Le service est bien en écoute, nous pouvons tester pour voir ce quiest présenté. 
Pour cela, nous allons simplement faire pointer notre navigateur sur l'adresse IP de notre machine virtuelle : 





= C [19216801 
It works! 


This is the default web page for tius server. 


The web server software is running but no content has been added. vet. 


Page d'Apache par défaut 


Nous voyons bien la page par défaut du serveur Apache, ça marche ! 


Nous allons maintenant regarder comment configurer notre serveur pour pouvoir afficher nos propres sites web. 


Configuration d'Apache2 


Comme habituellement sous Unix, les fichiers de configuration se trouvent dans le répertoire /etc. 
Pour Apache2, ils sont dans le répertoire. apache2. Rien de bien origimal. Là 





Regardons le contenu de ce répertoire : 


Code : Console 


# cd /etc/apache2 
# ls -la 
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Bars UE, 


CHENE RES recrMroor MANS EN NEC OMNASUUREZ 

Cho re RS Proc emroct lie CEMER OS IR 

Dole ue rocobmrooro 00 TT En EN OMAN LC Re/contr 
Cent < roctreroom TD CAN MRC 20 IRSC rc) 
NS BOIRE NE Croie MIN PC SUIS NON) QI A Ses 

im erioo— FCO OOE CEMSEARESP 20 Reed ASS ne 
ROSE ROGNE M LOC MONO S NUS 7 Ci Care 


FOOLMEOO TOO ON EME 7 DIMOmMOodS VAIO 
root -ro00- "T0 Mar To 20 Mn mods enabled 
FOCLRÉCOE» FSC AMI ZT IN 5 Smet Ou 
FOOLNEOOLM TO CONS ER RP OS Reel erre 
root root 4096 Sep 4 2012 sites-enabled 


OEIL 
CHENE EX 
inter — 
Che PS 
Che ee 


ND DANONE © -] 


Nous voyons ic1 différents fichiers et répertoires plus ou moins importants. 
Nous allons les parcourir. 


Tout d'abord, il faut savoir qu'avant Apache2 il y avait Apache et qu'à peu près toutes les informations de configuration étaient 
dans un seul et unique fichier, httpd.conf. 

Cela posait quelques problèmes, car ce fichier devenait un peu un fourre-tout dans lequel il était difficile de savoir où certaines 
informations étaient situées et s'il n'y avait pas des informations redondantes. 


Pour Apache?, ce fichier de configuration a été séparé en plusieurs parties. 
Le point de départ est le fichier apache2.conf. 


Ce fichier contient un certain nombre de directives importantes, ainsi que les inclusions (Includes) des autres fichiers de 
configuration. 

Cependant, il n'y a pas de directives qui nous intéressent dans ce fichier. Si vous souhaitez vous spécialiser dans l'utilisation 
d'Apache et comprendre chacun des directives, la documentation officielle vous tend les bras. 


Par contre, les includes en fin de fichier nous donnent une idée des parties de la configuration qui sont en dehors de 
apache2.conf, et qui vont pouvoir nous intéresser : 


Code : Console 


# Include module configuration: 
Icludemmeds en bete 0 
leludebmeds encre Con 


roc uen MAP te et Cen iourderones: 
Irc Pidereb dec on 


rlneludespont- MIS Cm 
InchudeN port cons 


# 

NME NEOIMIONAToNdiReeC Cuve UE ie MS OmeMrormalr TC Énae MAC MUS EN 
# a CustomLog directive (see below). 

FI IEMVOUNRAare Cehind 1 reverse ProxV, Wou midht Want toLchange into six 
Forwarded-For}1 

# 

FoghcemaetEerv CEE RE Re CR CN US = 00 0 Fercren) ni tee 
Agent }i\"" vhost combined 

Foghormir MERS INC DER CU CON Rerérer) ME User 
Accent 1 EC OmEermecl 

Fee RAR RS CE RO nmon 

LogFormat "$S{Referer}1i -> $%U" referer 

LogFormat "$S{User-agent}i" agent 


Hlnchidesc ro rrecrenmes Cho == editor naine RE Space res 
# see README.Debian for details. 


# Include generic snippets of statements 
rhcludésecontc- 07 


Hills dhuel= Mare yimette 1e CS eMe tnelobhes ei ce 
Include sites-enabled/ 
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Nous voyons d'abord l'inclusion de modules. 


En effet, Apache est un service modulaire. Cela veut dire que l'on peut lui ajouter des modules qui viennent lui ajouter des 


fonctionnalités particulières. 


Par exemple, Apache peut jouer le rôle de proxy. Pour cela, il faut lui ajouter le module mod proxy. 


On peut ainsi ajouter toutes sortes de fonctionnalités à Apache. 


Sans le savoir, nous avons déjà ajouté un module à Apache en imstallant hbapache2-mod-php5 qui est le module de prise en 


compte du langage PHP par notre serveur Apache. 


Nous avons deux lignes mcludes pour les modules : 


Code : Console 


# Include module configuration: 


reclidemede-=nr-LIe 7 10 
reltoe mods enable ee omE 


Ceci nous indique qu'Apache va prendre en compte les fichiers load et .conf situés dans le répertoire mods-enabled (qui est lui- 
même dans /etc/apache2, puisque c'est notre répertoire de travail). 


Allons donc voir ce quiest contenu dans le répertoire mods-enabled : 


Code : Console 


# ls -1la 

ECEA IN? 

CN ee TOC IeMeOo E NOTEZ AIN IE NE SAME 
Opera MNT O0 Me Cor MONTE PA Et SM UNE 
PÉNRENRÉNEMINR EC OLRECOEr Cine lila lo 
avadlablieralas "con 
PÉNRENRENSMINECOLRÉCOE DO ARE SDIREE 
available/alias.load 

Ia ere MN ceci. Sn lenmear- m0” 
available/auth basic.load 

Péri ÉOO ENEOO0E 0 lemiresel;: 
available/authn file.load 

Péri on EREOOE 002 1Nmars mer; 
available/authz default .I1oad 

lPÉReNC Er M NÉ OC ENTOCE Solar Esmaloi: 
nu /uooS evenmdslole/E vez Con EME Le El 
Ie ansats MR Se En o or So (Au-ucMinS 
AMC MMAOIe 7 = RESTOS ECC 
PénceneEriREeCe REC OE 2er 010; 
available/authz user.load 

1e anse MIS) Em 0 one Sarre SNIESE 
available/autoindex.conf 

MN IREOCENLOO,E AN eue MR 
available/autoindex.load 

Pere CEr MI EOCENTOOE 2002 ie MARS 
available/cgi.load 

RÉNREeNCET IEC ENrOUE 002 Pémars m9; 
available/deflate.conf 

PNR CLR EOOCEMRrOOrE SON naar ei 
available/deflate.load 
ÉÉNRENSENROIMEÉOO CT eECOr NON 7 ie ue SAMIR SE 
available/dir.conf 

PÉVCEN MON ÉOOCUECOEr GATE ue SAMIR SE 
avadlable”/tdir "io 2e 
PÉMRENRENRORMEOOTECOr GE ue SIP OS) 
available/env.load 

PENRÉNRENEMINÉOO EN ÉOOINE 24 Ares DIR 
available/mime.conf 

PER eNRENEMIRÉ OO REOOIE TT ASE ue MMS) 
available/mime.load 
PENRÉNRENEMNÉODEMTOOIE s 1241009; 


available/negotiation.conf 


2e 


2 4 


2 4 


2 4 


2 4 


2 4 


2 4 


2 4 


2 4 


2 4 


2 4 


2 4 


26 


2 4 


2 4 


2 4 


2 4 


2 4 


2 4 


2 4 


2 4 


Mas Cor 


mods” 
He dc de en med. 
SUTAMCasrLC IEC => Amos 


SN aa MANS MISE GUE Me mecs 


= Liza DOS RSS MCE CISS 


SN NOR CON AMIENS ETS 


= Liz z in OS IE IRSC 
SHeNAmMUS CUIR CIRE. 
HHeCnNe CONS rod 


brome lose eds 


CoLbeAlo cie 
deflate.conf 
deflate.load 
CHAN CNE 
He ARe ee 
env.load -> 
INT CON. 


mime.load -> 


nÉCOL M EMONA SON 


Www.openclassrooms.com 


T/Hoces 
7 Jod. 
Fo. Jo. 
med 
7 node 
. med 
Hrrodes 


M/mode 
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../mods- 


../mods- 
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redonne lis Oo ei °C 0e 1N/emar hr een -rion lo Ce /molss 
available/negotiation.load 
Perron minor oo 22 ner MMS EN oo conne et no ss 


available/php5.conf 
éroaenpen ME C0 Cr OCIE DIN tete MO ON OO MEET oc se 
available/php5.load 


Penn CMOS CNTOO Sn ee cn INC UN SES Rae oue Core" /rocs 
available/reqtimeout.conf 

lENPCENR EN OSCNTOOEr on rec MON UN ES rireoue Toi ON ous 
available/reqtimeout.load 

lentement rooteroor 31 21 mars 19:24 setenvif.conf -> ../mods- 
available/setenvif.conf 

lentement ootroon 31 21 mars 19:24 setenvif.load -> ../mods- 
available/setenvif.load 

Penrenreureltrooterooe 290 IPmar Un 218E tt us Conte 0 /mod-- 
available /Sstabtuscons 

l'ont Eur Ecote oo 20002 INmar MI 218 ta us load /mod:- 


chu ol Sr true 0-0 


Les plus avertis d'entre vous auront remarqué que tous ces fichiers ne sont que des liens vers d'autres fichiers qui sont situés 
dans ./mods-available/. 


#\ Pour les utihsateurs habitués de Windows, les liens sous Unix sont comme les raccourcis sous Windows. 


En fait, le répertoire mods-enabled ne contient que des liens. Ces liens pointent vers les vrais fichiers qui sont contenus dans 
mods-available. 


Nous venons de découvrir le fonctionnement modulaire d'Apache2. 


e Tous les modules sont installés dans mods-available. 
e On crée des hens vers ces fichiers dans mods-enabled. 
e Seul le répertoire mods-enabled est lu par la configuration d'Apache. 


Ce mode de fonctionnement nous permettra très facilement de désactiver ou d'activer un module pour Apache2. Il suffira de créer 
un lien vers le module ou au contraire de l'effacer. 





© Vus pouvez faire cela à la main, ou utiliser la commande a2enmodl. 


Donc, pour installer un module, vous avez deux choix: 


e l'installer avec la commande apt-get installnom module ; 
e récupérer les fichiers .conf et load et les mettre dans le répertoire mods-available, puis créer des liens vers ces fichiers 
dans mods-enabled. 


Vus savez donc maintenant installer, désactiver ou activer un module. 


Nous allons passer à la suite des includes de notre fichier apache2.conf. 
Include httpd.conf 
Là, 1l s'agit simplement de conserver ce qui pouvait exister historiquement, mais ce fichier est vide par défaut. 








Include ports.conf 
Ce fichier va indiquer sur quel port notre serveur doit écouter. Par défaut, 1l s'agit du port 80, mais cela peut être modifié s1 vous le 
souhaitez (mais vous ne voudriez pas outrepasser une norme, n'est-ce pas ?) 


Il y a ensuite quelques mformations sur le format des logs du service et le répertoire conf. d qui peut comprendre des attributs de 
configuration particuliers, mais cela ne nous intéresse pas ici. 


Les logs sont des fichiers qui contiennent des mformations écrites sur tout ce quise passe au niveau de la machine. 
Les logs d'Apache mdiqueront tout ce quise passe au niveau du service, chaque connexion, chaque erreur, etc. C'est 
très utile pour trouver la source d'un problème. 





Et enfin une dernière partie très importante qui concerne les virtualhosts : 


Code : Console 
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ae bio mate M'A DEN ete ee AiBilolbhecienrcie =. 
Include sites-enabled/ 


Le virtualhost est une notion très importante dans Apache. C'est ce qui nous permet de faire tourner plusieurs sites sur le 
même serveur Apache2. 

Vus pouvezavoir un serveur web qui présente plusieurs sites web, comme www.lalitte.com et www.mailforkids.net qui sont deux 
sites différents, mais hébergés sur le même serveur Apache. 


Â\ Faites un ping de ces deuxsites et vous verrez que c'est la même adresse IP qui vous répond. 


Nous allons donc regarder ce qui est contenu dans le répertoire sites-enabled. 


Code : Console 


# ls -la sites-enabled/ 

EOES UN? 

Char ae TOC TAC or AOC NON SSSR CZ 

Chop de oo Eco MDN 2e SES" 10) 

PEU MR Oct roor DOM NÉ sie 2 JIMANOIEGEREMER=e NN See 
available/default 


Un seul fichier 1c1 ! Enfin, un lien plus exactement, mais nous connaissons le principe maintenant, qui est le même que pour les 
modules avec un répertoire sites-avalable qui contient les fichiers et le répertoire sites-enabled qui contient les liens vers les 
fichiers dans sites-available. 

Ce fichier est le fichier de configuration par défaut de nos virtualhosts. C'est lui qui sera utilisé par défaut pour toute requête web 
arrivant à notre serveur. 

Regardons son contenu : 


Code : Console 


SVM lee An OS EM Oe 
ServerAdmin webmaster@localhost 


DocumentRoot /var/www/ 
<Direcrorys 
Chrono en 
AllowOverride all 
Die ceor). 
<Directory /var/www/> 
Options Indexes FollowSymLinks MultiViews 
AllowOverride all 
Order allow,deny 
SIGNES SVM 
cRéree-on 


cernes Cou oan/ us Pre ocuSern 
“DÉMeCron a Vite APM IC OH P a 
AllowOverride None 
Options +ExecCGIT -MultiViews +SymLinksIT£fOwnerMatch 
Order allow,deny 
Allow from all 
</IDie et Cie r 


HrrorLoor  /var/log/apache?/écro0or. log 

HDPOS role lue inclidemtebio Nrnro,  Mmorice eme or MCrCIL, 
# alert, emerg. 

LogLevel warn 


CustomLog /var/log/apache2/access.log combined 


Ie /oue UE LS et/ou 
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Directorate /-hore/coc/t 
Options Indexes MultiViews FollowSymLinks 
AllowOverride None 
Order deny,allow 
Deny from all 
MO Meeonn A2 7 OS O2 ES CU OS 1074827 
'Dir-etror),. 


ie eLelNeo se 


Nous n'avons besoin de comprendre que quelques éléments pour l'instant. 

<VirtualHost *:80> 
Ceci mdique le début d'une directive de configuration Apache et notamment le début d'un virtualhost qui sera en écoute sur le 
port 80. 


Bleleibini=rshei- tele mr AY A "AT" PA 


Le DocumentRoot est très important. C'est ce qui va mdiquer au serveur Apache? où vont se situer les pages de notre site web. 
Dans notre cas, comme dans la majorité des cas, la racine de notre site web se situera dans /var/www/. 
D'ailleurs, nous pouvons aller voir le contenu de ce répertoire : 


Code : Console 


ls Ja /var/www/ 


FO EAUNe 

CHE ar NB M ÉCC'E MC OCIE AOC CCE. 18:47 

her he MIE CE re on 1096 16 mars 2 ONE 

nimes NM CCCQE. COCiz SIN inerte = ZOÉ de" E em 


Il ne contient qu'un fichier index.html. Allons voir son contenu : 


Code : Console 


# cat /var/www/index.html 

<a Soochr nee roles late 

<p>This is the default web page for this server.</p> 

<p>The web server software is running but no content has been added, yet.</p> 
locc 

< / teindLe 


Cela correspond bien à ce que nous avons vu tout à l'heure sur la page web ! 
Nous pouvons essayer de faire une modification et de voir le résultat. 
Editez le fichier mdex.html et mettez-y... ce que vous voulez! 


Moi j'ai opté pour la page suivante: 
Code : HTML 


<html><body><h1>Ma belle page de la mort qui tue !</h1> 
<p>Bienvenue sur mon serveur apache2 qu'il est bien.</p> 
<p>Le réseau c'est génial !</p> 

</body> 

</html> 


Ceci me donne : 
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Ma belle page de la mort qui tue ! 


Bienvenue sur mon serveur apache2 qu'il est bien. 


Ma nouvelle page 


Le rÂAOseau c'est gA©nial ! 


web 


Bon OK, ce n'est pas encore génial, et il y a apparemment de gros problèmes d'encodage des accents. 
Mais, au moins, notre page s'affiche. Ca 





Nous allons maintenant pouvoir passer à quelques éléments de configuration avancée. 


Pour aller plus loin 
Nous allons voir ici quelques éléments de configuration du serveur Apache2 qui pourraient vous mtéresser. 


Dans un premier temps, nous allons bidouiller un peu, et voir les conséquences de nos bidouilles. 
Bidouillons gaiement ! 


Comme premier test, nous avons modifié le contenu de notre fichier mdexhtml. 
Nous allons maintenant essayer de changer son nom pour voir les conséquences. 


index.tutu 
Nous allons l'appeler index.tutu : 


Code : Console 


# cd /var/www 
hole ec lets toe > eue 


Observons le résultat quand on se connecte simplement sur le site : 


Index of / 


Name Last modified Size Description 
Page par défaut avec mdextutu 


Fi mdex tutu 21-Mar-2013 19:24 177 


Apache’? 2, 10 (Debian) $erver at 192, 168.56.101 Port 80 


Nous voyons que ce n'est plus notre page web qui nous est présentée, mais le contenu du répertoire /var/www/. 
Sinous cliquons maintenant sur mdextutu, que se passe-t-il ? 
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dhtml><body><h1>lt works!</h1> 
p>This is the default web page for this server.</pz 


p>The web server software is running but no content has been added, yet.</p> 
fbody></html 





Affichage d'ndextutu 


Ce n'est plus notre belle page web, mais simplement son contenu avec les balises. 





© Mais que se passe-t-il ? Notre serveur ne fonctionne plus ? (à 





Ajouter des fichiers d'index à Apache2 


S1, il continue de très bien fonctionner, mais 1l fait ce qu'on lui dit de faire. 

Dans un premier temps, nous sommes allés vers la page principale du site sans préciser de nom de page spécifique. Dans ce cas, 
Apache regarde s'il y a un fichier par défaut qui doit s'appeler index et une extension d'un langage web. 

Cette directive, très importante, se trouve dans le module dir. 


Code : Console 


# cat /etc/apache2/mods-available/dir.conf 


SIÉMNOCUIE Mmoc Cire eZ 
Dirécrorylindér  inde< hiemleindex coitindex  plnder php nds  <heml index, 


< Mate etuuLe,> 





4] dr) 


La directive DirectoryIndex mdique à Apache quel peut être le nom du fichier qui sera automatiquement lu par le serveur si aucun 
fichier n'est indiqué. 


Nous pouvons essayer d'ajouter notre fichier mdextutu au DirectoryIndex. 


DirectoryIndex index.html index.cg1i index.pl index.php index.xhtml index.htm index.t 


UCUu 





Regardons le résultat, en ne rentrant dans l'URL QUE l'adresse IP du site 192.168.0.1 : 


Index of / 











Name Last modified Size Description 


Avec DirectoryIndex index.tutu 
(Ÿ] index tutu 21-Mar-2013 19:24 177 


Apache/2.2, 16 (Debian) Server at 192, 168.36.101 Port 80 


Eh bien ? Ça n'a rien changé. œ 


Oui, car nous avons changé la configuration d'Apache2, mais nous ne lui avons pas dit. En fait, 1l faut relancer le service apache2 
pour que les nouveautés de configuration soient prises en compte : 


Code : Console 


# /etc/init.d/apache2 restart 
Restarting web server: apache? ... waiting 
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Et nous pouvons maintenant rafraîchir la page : 


Abtmol><body><hl>lt works!</h1lz 
p>This is the default web page for this server.</pz 


p>The web server software is running but no content has been added, vyet.</p> 
fbodyi</fhtml;z 





Affichage d'ndextutu sans l'avoir précisé 


On voit effectivement qu'Apache2 ne nous affiche plus le contenu du répertoire /var/www/, mais directement le fichier mdex.tutu 
quiest bien spécifié dans le DirectoryIndex. 


Cependant, c'est toujours le texte avec les balises qui est affiché, et non la page web imterprétée. (2 





Ajouter des types à Apache2 


Pour cela, nous devons dire à Apache? que les fichiers d'extension .tutu doivent être mterprétés comme des fichiers html. Cela se 
fait grâce à la directive AddType quise trouve dans le module mime. 
On ajoute à la fn du fichier : 

AddType text/html .tutu 





On relance Apache? et on actualise notre page, en appuyant sur la touche F5 par exemple : 


A\ Il faut parfois faire CTRL+FS pour forcer à recharger la page. 


Ma belle page de la mort qui tue ! 


Bienvenue sur mon serveur apache2 qu'il est bien. 


Ma nouvelle page 


Le rÂAOseau c'est gA©nial ! 


web 


Cette fois tout est bon ! _ 
Enfin... pas le problème d'encodage des accents, mais ce n'est pas l'objet du cours. € 





Ceci dit, comme je suis sympa, je vous donne une petite astuce qui règle le problème temporairement. Wus pouvez 
remplacer les accents par la chaîne &eacute, et vos accents seront bien interprétés. 





Nous avons vu quelques directives intéressantes d'Apache2, nous allons maintenant voir comment faire tourner plusieurs sites 
différents sur notre serveur. 


Utilisation des virtualhosts 


Nous allons essayer de présenter deuxsites différents sur notre serveur. 


© Mais comment Apache saura différencier ces deuxsites et saura lequel présenter lors d'une requête sur le port 80 ? 





En fait, 1l y a plusieurs façons de faire des virtualhosts, mais nous allons nous baser sur la plus répandue en utilisant des noms 
de domaine différents pour nos sites. 
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Nous allons créer les sites toto.com et tutu.com. 
Ainsi, quand une requête arrivera, Apache2 pourra savoir s1 la demande est pour toto.com ou tutu.com. 


Configuration du DNS 
Dans la vraie vie, vous devez acheter un domaine pour qu'il devienne accessible sur Internet. 
Dans notre cas, je ne vais pas vous faire dépenser de l'argent pour un exemple. Nous allons plutôt utiliser une petite astuce qui 


pourra vous être utile pour beaucoup d'autres choses. 


Nous allons utiliser une fonctionnalité qui permet de court-circuiter le fonctionnement normal du DNS grâce au fichier hosts. 


Le fichier hosts est un fichier présent sur tous les systèmes, qui permet d'indiquer des associations entre nom de 
machine et adresse IP qui seront prioritaires par rapport au DNS. 





Par exemple, s1 j'écris: 
192 HO 6-0 TL 








WwWww.google.fr 


La prochaine fois que j'essaierai d'aller vers www.google.fr, ma machine pensera que le serveur de Google se trouve à l'adresse 
192.168.0.1 et enverra la requête à cette adresse. 


Nous allons donc modifier notre fichier hosts pour y ajouter des associations pour www.toto.com et www.tutu.com. 


e Sous Unix, le fichier hosts se trouve dans /etc. 
e Sous Windows, ilse trouve dans C:\Wmdows\System32\drivers \etc\. 


Donc sur notre Debian, nous allons éditer le fichier hosts et ajouter deux lignes en haut du fichier : 
192.168:0:1 WWwW.toto.com 





192, 1680%.1 WwWw.tutu.com | 
Désormais, dès lors que notre machine voudra accéder à un de ces deuxsites, elle accédera à... elle-même. {== 





Nous pouvons tester en entrant www.toto.com dans l'URL de notre navigateur : 





| |  www.toto.com 


Ma belle page de la mort qui tue ! 


Site www.toto.com 


Bienvenue sur mon serveur apache2 qu'il est bien. 


Le réseau c'est gACnial ! 


Ça marche ! 
Et ça marche de même avec www.tutu.com : 


(4 ) WW. CUT. COM 
nr 


Ma belle page de la mort qui tue ! 


Site www.tutu.com 


Bienvenue sur mon serveur apache2 qu'il est bien. 
Le réseau c'est gACnial ! 


Par contre, pour l'instant, le serveur Apache nous présente deux fois la même page. 


Nous allons donc nous attaquer aux virtualhosts. 


Configuration des virtualhosts. 
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Comme on l'a vu précédemment, les virtualhosts se configurent dans sites-available/. 
Nous allons donc créer deuxnouveaux fichiers pour nos deux virtualhosts. Pour cela, nous allons simplement copier le fichier 
default, et modifier le contenu des fichiers copiés. 


Code : Console 


# cd /etc/apache2/sites-available/ 
# cp default www.toto.com 
# cp default www.tutu.com 


Ensuite, nous allons simplement modifier trois choses et ajouter : 


une directive ServerName pour mdiquer le nom de notre virtualhost ; 
le DocumentRoot qui précise où se situent nos pages ; 
et enfin la balise Directory pour y indiquer notre nouveau chemin. 


Code : Console 


<Vhsarti-dbaostes 0 
Server din mebmasterétloc:lnoest 
ServerName www.toto.com 


Decumenr oo ae MMM eOrC- COM 
Dire CEON 
CoLrIon Notons 
AllowOverride all 
AD CEor 
Dale crO AE ere O co Con 
Options Indexes FollowSymLinks MultiViews 
FMIONOverridenclrl 
Order allow,deny 
MEGA E Cut Sun 
bre on, 


cerietrolmas Cou bu us rt lb cou bn 
bibi = tereon a uee/Ao/e0uLoibet 
AllowOverride None 
Options +ExecCGIT -MultiViews +SymLinksIT£fOwnerMatch 
Order allow,deny 
AlPOwW From all 
/IDie elec 


berrortcow var ilog/cpache2/écror ro 


INPoOSssrblevalnes include Acebug, into, imortrice Nr error MCLIE, 
# alert, emerg. 
LogLevel warn 


CustomLog /var/log/apache2/access.log combined 


MirasPidoc MP bSr/ share doc 
Darecronm mur /Share/coc/n 
Options Indexes MultiViews FollowSymLinks 
AllowOverride None 
Order deny,allow 
Deny from all 
HI RroMNL AT NPA 2 ECC ON ONE A720278 
Dee -ony. 


</tee belote. 


Nous faisons de même pour tutu.com. 


Il nous reste encore à activer ces vutualhosts dans sites-enabled/. 


Www.openclassrooms.com 


Partie 4 : Les services réseau 216/220 





Code : Console 


# cd /etc/apache2/sites-enabled/ 
Rec 1 u1l ble écorce com 
ln ee na le buen com 


Le. mdique le répertoire courant. Donc ici, nous allons créer un lien dans le répertoire courant qui pointera vers le 
fichier toto.com. Notre lien s'appellera donc sites-enabled/toto.com. 





Nos virtualhosts sont prêts, 1l ne nous reste plus qu'à créer les répertoires et pages de nos sites : 


Code : Console 


NÉE AE NW LOro COM 

touch Var WWW toto Com index. hemi 

echo neme eo SR Eté euro rc comme body he Sn Li eo 
NÉE at UN bb CON 

touch Var /WwWWtueu com index heml 

CHOICE yeNMENETEe bete COMME UE </o oc PSS ue i /AEUNC 


4] D 


Nos vitualhosts devraient maintenant être effectifs : 


RH + 








bd)  www.toto.com 
Mn 


Vrai site www.toto.com 


Bienvenue sur toto.com ! 





 —— | | WWW. tUtU.coml 


| Vrai site www.tutu.com 
Bienvenue sur tutu.com ! 


Nous avons donc réussi à présenter deux sites différents sur un seul et même serveur Apache? . 


Nous allons maintenant voir deux cas différents de configuration qui permettent de placer les pages de vos sites en dehors de 
/vVar/www/. 


Un répertoire venu d'ailleurs 


Imaginons que vous avez mis en place votre propre serveur web et que vous avez réalisé une page web présentant votre famille 
sur le nom de domaine que vous avez acheté www.mafamille.com. 

tre petite sœur vient vous voir et aimerait bien mettre en place un site pour elle pour présenter ses hobbies. 

Maintenant que vous savez faire des virtualhosts, vous pourriez tout à fait créer le nom de domaine petitesoeurmafamille.com et 
faire un vitualhost pour ce site. 

Cependant, vous trouvez plus intéressant de faire un site du type www.mafamille.com/masoeur. 

Ainsi, vous pourriez faire pareil pour tous les membres de la famille. 


Cependant, s1 vous faites comme cela, vous devrez donner accès au répertoire /var/www/ à votre sœur, ce quine vous emballe 
pas trop si elle y fait des bêtises. 


Il existe une solution simple. Wus pouveztout à fait laisser un accès complet à un répertoire pour votre sœur, et faire un 
raccourci de ce répertoire dans /var/www/. 


Un lien plus que familial 
Essayez par exemple de créer une page web dans /home/user/ : 


Www.openclassrooms.com 


Partie 4 : Les services réseau 217//220 





Code : Console 


# touch /home/user/index.html 
# echo "<html><body><h1>La jolie page de ma sœur !</h1></body></html>" > /home/user 


4] ) 


Vus pouvezalors créer un lien de ce répertoire dans /var/www : 











Code : Console 


# cd /var/www/ 
Sin home meer emi-cour 


MR IE 

EOEA UN? 

OEM LR SUN M OICRE M ICOONE ADECCO CE. 18:47 

Che a ON MIE CRE NE Oo A096 16 mars 2107414 

Diners LL ÉoOL LOC IPS ER Ré inder ebtEu 

Parncencere mie ore eco LS PINS VE teneurs home user 
CHENE CR IE Ce Reco HOMO SMS Ste RUE Mme Eee Ne où 

CHENE IE Co ECO ANGERS STE NT IC et mb e o)11 


Désormais, si vous allez sur le site www.mafamille.com/masoeur/ vous allez tomber sur la page de votre petite sœur ! 
Et ceci, sans qu'elle mette à mal toutes les pages que vous avez mis du temps à créer. 


Dans notre exemple, cela fonctionnera pour l'URL www.toto.com/masoeur/. 


Exercice 
Essayez de mettre en œuvre ce qu'il faut pour pouvoir taper www.mafamille.com/masoeur/ et que cela fonctionne aussi. 
Essayez aussi de faire en sorte que l'on tombe sur le site de votre petite sœur en tapant masoeur.mafamille.com/. 


Vus savez mamtenant mettre en place des virtualhosts et potentiellement laisser un accès à différentes personnes pour gérer 
leur site. Nous allons maintenant voir comment faire en sorte de rendre accessible une page pour l'ensemble de vos virtualhosts. 


Une page pour tous ! 


tre site a prospéré et vous hébergez maintenant une bonne dizaine de virtualhosts, pour votre voisin, votre école, votre club 
de bridge, etc. 

Vus avez même créé une page qui donne des statistiques sur l'utilisation générale de votre serveur Apache2 : le nombre de 
pages lues, le nombre de sites, etc. 

Vus aimeriez maintenant que cette page puisse être accessible sur chacun des différents virtualhosts que vous possédez. 


Une façon de faire serait de dupliquer la page sur chacun des virtualhosts, mais ce serait lourd et devrait être répété à chaque 
nouveau site créé. Il y a cependant une solution simple, grâce aux alias. 





à, Un alias permet de faire correspondre une partie de l'URL à un chemin particulier dans l'arborescence. 


Par exemple, je peux dire que s1]j'mdique dans mon URL messtats/, quin'est pas un répertoire dans /var/www/, le navigateur sera 
redirigé vers le répertoire /home/messtats/. 
Ainsi, www.toto.com/messtats/ ou www.tutu.com/messtats/ pomteront vers la même page. 


Les alias peuvent se configurer grâce au module alias. 


Nous allons tester cela en modifiant le fichier /etc/apache2/mods-available/alhas.conf pour ajouter une ligne 
Alias /test/ /home/user/hk 





Code : Console 
AMOR ee prodte 
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Aliases: Add here as many aliases as you need (with no limit). The format is 
Alias fakename realname 


Note that if you include a trailing / on fakename then the server will 
require it to be present in the URL. So "/icons" isn't aliased in this 
came le Mons ACCRO rh ro remime SMS Cermineted rentree 
realname must also be slash terminated, and 1f the fakename omits the 
brain ons Shen EE Pneomelmust RSC omite 1e. 


HÉRineltdent he Con Mr Pro rRnime) Pace ete CEOon mIRC E Rare 
VOUNCOMnOL US ane inde no, VOuUMAV CC OMMment ES OU. 


HE HE HE HR HE HE HE HE HE HE 


PMesPércons/ Wu r/ chere abache//heons/a 
Alias /test/ /home/user/ 


<birecrorvmi ter ehcmer  cbeche’/#reonmsu 
Options Indexes MultiViews 
AllowOverride None 
Order allow,deny 
Allow from all 

Dire crors. 


Helene 


Relancez Apache? et mettez-vous sur l'URL www.toto.com/test/. 


Si tout se passe bien, vous allez vous retrouver sur la page de votre petite sœur ! (5) 
Et de même pour www.tutu.com/test/ ou 192.168.01/test/. 


Nous avons pu ainsi créer une page, ou un répertoire, accessible depuis n'importe lequel de nos virtualhosts. 


Nous en avons fin1 avec la configuration d'Apache2. Il y a encore beaucoup de choses à découvrir sur sa configuration, mais un 
livre entier pourrait y être consacré ! 


e Vous savez mamtenant installer et configurer un serveur DHCP. 
e bus pouvez mettre en place un serveur DNS avec Bind. 
e Vus savez installer et configurer un serveur web avec Apache2. 


S1 vous le désirez, vous pouveztenter l'aventure d'acheter votre propre nom de domaine et d'installer et configurer vos propres 
serveurs DNS et web pour héberger votre site chez vous ! 


S1 jamais cela vous tente, n'hésitez pas à passer sur le forum du site du zéro pour poser des questions. Toute la communauté se 
fera un plaisir de vous aider à réussir ce challenge. () 


Ça y est, vous possédez, chez vous, un embryon d'infrastructure réseau avec quelques services fort mtéressants et 
indispensables au fonctionnement d'Internet. 


Vus savez désormais: 


e installer et configurer un serveur DHCP, 
e installer et configurer un serveur DNS avec Bind, 
e installer et configurer un serveur web avec apache2. 


S1 vous le désirez, vous pouveztenter l'aventure d'acheter votre propre nom de domaine et d'installer et configurer vos propres 
serveurs DNS et web pour héberger votre site chez vous ! 


S1 jamais cela vous tente, n'hésitez pas à passer sur le forum du site du zéro pour poser des questions. Toute la communauté se 
fera un plaisir de vous aider à réussir ce challenge 7" 


Ce cours s'achève, et vous pouvez être fiers de vous. bus avez parcouru beaucoup de chemin et maîtrisez mamtenant toutes les 
bases des réseaux TCP/IP. 





Mantenant: 


e Vous comprenez comment une mformation circule sur le réseau d'un ordinateur à un autre, 
e Vous savez mettre en place un réseau et les matériels associés, 
e bus savez configurer son adressage pour que chacune des machines soit connectée, 
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e Vous savez mettre en place des services pour permettre le bon fonctionnement des réseaux, 
e Bref, vous avez une meilleure compréhension du fonctionnement d'Internet et êtes prêts à y participer activement () 


Ne sous-estimez pas vos connaissances, Si VOUS avez parcouru sérieusement ce cours et avez bien assimilé ce que vous avez lu, 
vous avez réellement un niveau très correct en réseau. 


Il vous reste mamtenant à continuer à explorer le monde merveilleux d'Internet et des possibilités qu'offrent le réseau. Comme le 
futur IPv6, la supervision des machines et des services, la supervision des flux de données, le fonctionnement et la mise en place 
d'un serveur de messagerie, explorer la sécurité réseau et système, etc. 

Autant de plaisirs qui vous attendent... sûrement dans un futur tutoriel qui fera de vous un administrateur mondialement 





Je vous remercie et vous félicite d'être arrivés jusque là. Si ce livre vous a plu, ou pas, n'hésitez pas à me contacter et à me faire 
un retour, Je serai ravi de vous répondre (eric@lalitte.com) 


À très bientôt sur le site du zéro ! 


PS: Pour l'âge du capitaine, on me dit que c'est une information primordiale pour le fonctionnement des réseaux, et qui doit donc 
rester secrète ! 
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